Weblek maakt grote sites onveilig
Malafide pagina misbruikt gebrek aan controle
01 oktober 2008 | Pieterjan Van Leemputten
Een beveiligingslek dat recent is ontdekt door de universiteit van Princeton maakt enkele grote sites kwetsbaar. Onder meer Youtube, Metafilter, de Amerikaanse website van ING Direct en de site van de New York Times lagen onder vuur, al hebben de meeste intussen hun voorzorgsmaatregelen genomen.
Het gaat om cross-site request forgery (CSRF), waarbij iemand de doelsite probeert te verwarren. Concreet gaat een malafide site uw browser forceren om een bepaalde handeling naar een andere (vaak beveiligde) site te sturen. Veel sites controleren echter enkel of het verzoek via uw browser komt (met een identificerende cookie) en niet of u de handeling echt hebt uitgevoerd.
Zo kan een malafide site bijvoorbeeld verzoeken sturen naar Youtube, waarbij de ontvangende site denkt dat ze van u afkomstig zijn. Volgens de universiteit gaat het om de eerste CSRF-kwetsbaarheid waarbij het op banksites mogelijk is om geld over te zetten.
Anders dan cross-site scripting
Princeton heeft bovenvermelde sites gewaarschuwd voor het openbaar maken van het lek. Toch zou de site van The New York Times nog steeds gevaar lopen. De onderzoekers benadrukken op hun blog ook dat webmasters het lek niet mogen verwarren met cross-site scripting (XSS). Hierbij kunnen hackers een pagina infecteren door bijvoorbeeld in het commentaarveld gevaarlijke code of scripts in te voeren. Een beveiliging tegen XSS volstaat echter niet om ook CSRF te voorkomen.
bron: ZDNet
Related Partner info »
Panda Security lanceert bètaversie van Panda Global Protection 2013
27/04/2012 | pressrelease | Partner info : Panda Security NV
Lees verder op ZDNet »
Nog meer op ZDNet »
vSphere licenties onder de loep
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
» Boot Windows 8 te snel?
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
» Antwerpse jeugd kan begeleid gamen
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
» Super tip: het internet als e-book
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
Review: Diablo III
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
