গুরুতর কোডিং ফ্লেক্সে পাওয়া সুপরিচিত ওয়েব সাইটগুলি

দুই প্রিন্সটন বিশ্ববিদ্যালয়ের একাডেমিক্স বিভিন্ন ধরনের বিশিষ্ট ওয়েব সাইটগুলির উপর একটি কোডিং ত্রুটি খুঁজে পেয়েছে যা ব্যক্তিগত তথ্যকে বিপন্ন করে তুলতে পারে এবং এক ভয়াবহ মামলা করতে পারে, একটি ব্যাংক অ্যাকাউন্ট হ্রাস করে।

ক্রস সাইট অনুরোধ জালিয়াতি বলে ত্রুটি (সিএসআরএফ), একটি আক্রমণকারীকে কোনও ব্যক্তির পক্ষে ওয়েব সাইটে এমন কাজ করতে দেয় যা ইতিমধ্যেই সাইটে প্রবেশ করে।

জ্ঞানের অভাবের কারণে সিএসআরএফ ত্রুটিগুলি ওয়েব ডেভেলপারদের দ্বারা ব্যাপকভাবে উপেক্ষা করা হয়েছে, উইলিয়াম জিলার লিখেছেন এবং এডওয়ার্ড ফেল্টেন, যিনি তাদের গবেষণায় একটি গবেষণা পত্র লেখেন।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার মুছে ফেলার পদ্ধতি]

নিউ ইয়র্ক টাইমসের ওয়েবসাইটগুলিতে ত্রুটি পাওয়া গেছে; আই এন জি ডাইরেক্ট, ইউএস সঞ্চয়ী ব্যাংক; গুগলের ইউটিউব; এবং মেটাফিল্টার, একটি ব্লগিং সাইট।

একটি CSRF ত্রুটি নিপীড়ন করার জন্য, একটি আক্রমণকারী একটি বিশেষ ওয়েব পৃষ্ঠা তৈরি এবং পৃষ্ঠা শিকার একটি প্রয়াস আছে। দূষিত ওয়েব সাইটটি অন্য সাইটের উপর ক্রস সাইট অনুরোধ পাঠানোর কোডেড হয়।

দুর্ভাগ্যক্রমে প্রোগ্রামিং ভাষা যা ইন্টারনেটকে এইচটিএমএল আন্ডারপিন করে, এটি দুটি ধরনের অনুরোধ করা সহজ করে তোলে, যা উভয়টি হতে পারে সিএসআরএফ আক্রমণের জন্য ব্যবহৃত হয়, লেখক লিখেছেন।

যে ওয়েব ডেভেলপাররা কীভাবে ওয়েবফর্ম ডিজাইন করার জন্য ওয়েবফর্ম ডিজাইন করার জন্য নিবিড়ভাবে নির্দেশ করে, তবে মাঝে মাঝে অনিচ্ছাকৃত পরিণতিতে।

"সিএসআরএফের মূল কারণ এবং একই রকম দুর্বলতা সম্ভবত আজকের ওয়েব প্রোটোকলের জটিলতাগুলি এবং তথ্য উপস্থাপনা থেকে ওয়েবের ধীরগতির বিবর্তন ইন্টারঅ্যাক্টিভ সার্ভিসেসের জন্য একটি প্ল্যাটফর্মের জন্য। "

কিছু ওয়েব সাইট একটি সেশন সনাক্তকারী নির্ধারণ করেছে, একটি কুকিতে সংরক্ষিত তথ্যের একটি অংশ, বা ব্রাউজারের মধ্যে একটি ডেটা ফাইল, যখন কোনও ব্যক্তি সাইটটিতে লগ ইন করে। লেনদেনের সাথে জড়িত ব্রাউজারটি যাচাই করার জন্য, সেশন সনাক্তকরণের জন্য, অনলাইন ক্রয়ের সময়ে, চেক করা হয়।

CSRF আক্রমণের সময়, হ্যাকারের অনুরোধ শিকারের ব্রাউজারের মাধ্যমে পাস করা হয়। ওয়েব সাইটটি সেশন সনাক্তকারীকে পরীক্ষা করে, কিন্তু অনুরোধটি সঠিক ব্যক্তির কাছ থেকে এসেছিল তা নিশ্চিত করতে সাইটটি পরীক্ষা করতে পারে না।

নিউইয়র্ক টাইমসের ওয়েবসাইটের সিএসআরএফ সমস্যা, গবেষণা পত্রের মতে, কোনও আক্রমণকারীকে প্রাপ্ত করার অনুমতি দেয় সাইটের লগ-ইন ব্যবহারকারীর ই-মেইল ঠিকানা। যে ঠিকানা সম্ভবত সম্ভাব্য স্প্যাম করা হতে পারে।

সংবাদপত্রের ওয়েব সাইটটিতে এমন একটি সরঞ্জাম রয়েছে যা লগ ইন ব্যবহারকারীদেরকে অন্য কাউকে একটি ইমেল পাঠাতে দেয়। শিকার দ্বারা পরিদর্শন করা হলে, হ্যাকার এর ওয়েব সাইট স্বয়ংক্রিয়ভাবে কাগজ এর ওয়েব সাইট থেকে একটি ই-মেইল পাঠানোর শিকার এর ব্রাউজার মাধ্যমে একটি কমান্ড পাঠায় যদি গন্তব্য ইমেইল ঠিকানা হ্যাকারের মত একই হয় তবে শিকারের ইমেইল ঠিকানা প্রকাশিত হবে।

২4 সেপ্টেম্বর পর্যন্ত, ত্রুটিটি নির্দিষ্ট করা হতো না, যদিও লেখকেরা লিখেছেন যে তারা সেপ্টেম্বর মাসে সংবাদপত্রকে বিজ্ঞাপিত করেছে 2007.

আইএনজি এর সমস্যা আরো বিপজ্জনক ফলাফল ছিল। জেলর এবং ফেলেন লিখেছেন CSRF- এর একটি ত্রুটি শিকারের পক্ষে একটি অতিরিক্ত অ্যাকাউন্ট তৈরি করা। এছাড়াও, একটি আক্রমণকারী একটি শিকারের টাকা তাদের নিজস্ব অ্যাকাউন্টে হস্তান্তর করতে পারে। আইএনজি এর পরে সমস্যাটি সংশোধন করেছে, তারা লিখেছে।

মেটাফাইলের ওয়েব সাইটে, হ্যাকার একজন ব্যক্তির পাসওয়ার্ড পেতে পারে। YouTube এ, একটি আক্রমণ একটি ব্যবহারকারীর "পছন্দসই" ভিডিওগুলি যুক্ত করতে পারে এবং অন্য কার্যাবলীর মধ্যে ব্যবহারকারীর পক্ষ থেকে অবাধ বার্তা পাঠাতে পারে। উভয় সাইটে, CSRF সমস্যাগুলি সংশোধন করা হয়েছে।

ভাগ্যক্রমে, CSRF ত্রুটিগুলি সহজ এবং সহজ সমাধান করা যায়, যা লেখকগণ তাদের কাগজে প্রযুক্তিগত বিবরণ দেন। তারা একটি ফায়ারফক্স অ্যাড-অন তৈরি করেছে যা কিছু ধরণের CSRF আক্রমণের বিরুদ্ধে রক্ষিত।