Popüler Sitelerde CSRF Saldırıları

Daha önce cross-site saldırıları ve güvenlik sanatı yazısında belirttiğimiz gibi CSRF (Cross-Site Request Forgery) saldırıları her geçen gün daha tehlikeli hale gelmekte. Özellikle arama formları, üyelik sistemleri gibi istek gönderen bölümlere sahip dinamik sayfalarda yapılan sahte (forge) istekler CSRF zaafiyetlerinin oluşmasına neden oluyor.

Bir grup güvenlik araştırmacısı bu tehlikeyi göstermek için 4 çok büyük ve popüler web sitesinde CSRF zaafiyetlerinin olduğunu gösterdi.

1. Youtube (youtube.com)
Durum: Düzeltildi.
Popüler video paylaşım sitesi Youtube'ta CSRF saldırılarıyla bir kişinin kendisini başka bir kullanıcının arkadaş listesine ya da bir videoyu yine başka bir kullanıcının favorileri arasına eklemesi mümkün. Dahası yine bir kullanıcının hesabı ile başkalarına mesaj atılabiliyor.

2. ING Direct (ingdirect.com)
Durum: Düzeltildi.
Dünyaca ünlü ING Bankasının bir servisi olan IngDirect'te CSRF saldırılarıyla ek hesaplar yaratmak ve hesaplar arası transferler yapmak mümkün.

3. Metafilter (metafilter.com)
Durum: Düzeltildi.
Popüler weblog servisi Metafilter'da CSRF saldırılarıyla bir kullanıcı hesabı tamamen kontrol edilebilmekte. Ayrıca "şifremi unuttum" fonksiyonu ile kullanıcı şifresi saldırganın e-posta adresine gönderilebilmekte.

4. The New York Times (nytimes.com)
Durum: Henüz düzeltilmedi.
New York Times'ta hala düzeltilmeyen CSRF zaafiyetiyle herhangi bir kullanıcı e-postası bulunabilmekte. "Email This" fonksiyonundan kaynaklanan zaafiyetle birlikte binlerce kullanıcının kayıtlı e-posta adresleri spam için ya da fişlemede kullanılabilir.

Güvenlik zaafiyetleriyle ilgili daha detaylı bilgiyi şu pdf dosyasında bulabilirsiniz.

Referans: Freedom to Tinker