Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 1/10/2008
Forskere har fundet en ny type sårbarhed på fire store websteder. De har også en udviklet en metode til at beskytte mod sårbarheden.Kunder hos den amerikanske bank ING Direct risikerede indtil for nylig at få overført penge fra deres konti til uvedkommende. Det skyldes, at bankens netbank havde en type sårbarhed, som først for nylig er blevet bredt kendt: Cross-Site Request Forgery (CSRF).
Sikkerhedsforskerne William Zeller og Edward W. Felten fra Princeton University beskriver i en videnskabelig artikel, hvordan sårbarheden fungerer. Den går ud på, at en angriber kan få en browser til at sende en kommando til en webserver på vegne af browserens bruger. Derfor tror webserveren, at kommandoen kommer fra brugeren, som ikke er klar over, at browseren bag om ryggen på ham har sendt kommandoen.
I tilfældet med banken kunne en angriber på den måde sende beskeder om at overføre penge til en konto. Det krævede to ting: Brugeren skulle være logget ind på bankens websted. Og han skulle besøge en webside, som var under angriberens kontrol.
I nogle tilfælde kan et CSRF-angreb udføres med HTTP-protokollens GET-kommando. Det medfører, at de kan udføres uden brug af JavaScript, kommandoen kan blot indlejres i en IMG-kommando. I andre tilfælde kræver POST-kommandoer, her er angriberen nødt til at bruge JavaScript.
Forskerne fandt lignende sårbarheder på websteder for New York Times, MetaFilter og YouTube. Sårbarhederne er alle rettet nu bortset fra den på New York Times' websted.
Udviklere af websteder kan beskytte sig mod angreb ved at indføje en dynamisk genereret værdi, som ændres hver gang en webformular sendes til en bruger.