اخبار و مقالات :: نرم افزار، اینترنت و شبکه

از هر ده وب سایت برتر، یکی از آن ها در معرض حملات XSS و CSRF هستند

۲۲۷۳ شماره اطلاع نامه : از هر ده وب سایت برتر، یکی از آن ها در معرض حملات XSS و CSRF هستند ۱۳۹۴/۱۲/۱۰ از هر ده وب سایت برتر، یکی از آن ها در معرض حملات XSS و CSRF هستند نرم افزار، اینترنت و شبکه :: اخبار و مقالات از هر ده وب سایت برتر، یکی از آن ها در معرض حملات XSS و CSRF هستند

از هر ده وب سایت برتر، یکی از آن ها در معرض حملات XSS و CSRF هستند

یکی از مهندسین موسسه CloudFlare متوجه شده است که ده درصد از یک میلیون وب سایت برتر در الکسا، از یک سیاست نادرست برای اشتراک گذاری منابع (CORS) استفاده می کنند که کاربران را در معرض سرقت اطلاعات قرار می دهد.

CORS مکانیزمی است که مواردی را که منابع سرور می تواند با بقیه دامین ها می تواند به اشتراک بگذارد را کنترل می کند. CORS بخش مهمی از SOP به معنی مجموعه کلی از رهنمودهایی است که هسته اصلی مدل امنیت وب هستند. SOP به صورت پیش فرض فونت ها و درخواست های AJAX را از دامین های اطراف ممنوع می کند. CORS راهی است برای توسعه دهندگان و ادمین های سرورها تا منابعی را که از دامین های دیگر قابل دسترس هستند، کنترل کنند. این موضوع مشکلی ندارد تا زمانی که به دلایلی فنی برخی از این سایت ها باید قادر به اشتراک گذاری منابع با دیگر وب سایت ها باشند.

ایوان جانسون دریافته است که بسیاری از وب سایت های رده بالا، این اجازه را می دهند تا منابع شان خارج از دامنه آن ها به اشتراک گذاشته شود. مشکل این است که استاندارد RFC که تنظمیات مناسب CORS را مشخص می کند، بسیار پیچیده و دشوار است و گاهی اوقات موجب سردرگمی توسعه دهندگان می شود. این مهندس CloudFlare با استفاده از یک اسکریپت ساده دسته ای، یک میلیون سایت برتر الکسا را اسکن کرده و دریافته است که بسیاری از آن ها دارای تنظیمات نامناسب CORS هستند و درست پیکربندی نشده اند.

این اشتباهات در پیکربندی باعث می شوند تا سایت ها نسبت به حملات XSS و CSRF آسیب پذیر شوند. در این صورت است که مهاجمان می توانند جزئیات اطلاعات شخصی کاربران را سرقت کنند و با ورود به حساب کاربری آن ها، اقدام به عملیات جعلی کنند. در میان این وب سایت ها، می توان اسامی سایت های اپلیکیشن های سلامتی در موبایل، پورتال های پرداخت بانکی، پورتال های تجاری، سازندگان فروشگاه های آنلاین و بسیاری وب سایت های دیگر را دید. البته برخی از این وب سایت های کشف شده، قبلاً وارد لیست سیاه گوگل شده اند.

شهر سخت افزار