Èññëåäîâàòåëüñêàÿ êîìïàíèÿ Netcraft ñîîáùèëà îá îáíàðóæåíèè ñåðüåçíîé óÿçâèìîñòè íà âåá-ñàéòå Yahoo. Ýêñïëóàòàöèÿ óÿçâèìîñòè âåäåò ê ïåðåõâàòó èäåíòèôèêàöèîííûõ ôàéëîâ cookie, êîòîðûå ñåðâåð îòäàåò ëåãàëüíûì ïîëüçîâàòåëÿì.
Ïðè ïîìîùè òàêèõ ñàéòîâ ïîðòàë ðàçëè÷àåò ïîëüçîâàòåëåé è ïðåäîñòàâëÿåò èì îïðåäåëåííûå ïðèâèëåãèè, íàïðèìåð äîñòóï ê êîíêðåòíîìó ïî÷òîâîìó ÿùèêó.
Ïåðåõâàòèâ óêàçàííûå ôàéëû-cookie çëîóìûøëåííèê ìîæåò ñ òî÷êè çðåíèÿ ñàéòà yahoo.com è åãî äî÷åðíèõ ïðîåêòîâ âûñòóïàòü îò èìåíè àâòîðèçîâàííîãî ïîëüçîâàòåëÿ.
 Netcraft ñîîáùàþò, ÷òî ïåðåõâàò âîçìîæåí èç-çà íàëè÷èÿ XSS-óÿçâèìîñòè íà ñàéòå Yahoo HotJobs (hotjobs.yahoo.com). Íà äàííîì ñàéòå àòàêóþùèé ìîæåò âíåäðèòü çëîíàìåðåííûé JavaScript, êîòîðûé è ïîõèòèò èñêîìûå ñâåäåíèÿ. Êîä íà JavaScript ïîçâîëÿåò ïåðåõâàòûâàòü êàê cookie ñ ñàéòà HotHobs, òàê è ñ îáùåãî ïîðòàëà Yahoo. Çàòåì ñêðèïò ïåðåäàåò ïîëó÷åííûå äàííûå ïî óêàçàííîìó àäðåñó.
"Êîãäà ñàéò èñïîëüçóåò cookie äëÿ îòêðûòèÿ ñåññèé àóòåíòèôèêàöèè, ÷ðåçâû÷àéíî âàæíî çàùèùàòü çíà÷åíèÿ ôàéëîâ-cookie è óáåäèòüñÿ, ÷òî îíè íåäîñòóïíû òðåòüåé ñòîðîíå. Çà÷àñòóþ ïðè ïîìîùè XSS-óÿçâèìîñòåé äîñòóï ê ýòèì äàííûì èìåþò õàêåðû, êîòîðûå è ïîëó÷àþò êîíòðîëü íàä çàêðûòîé ÷àñòü ñàéòîâ èëè ïîëüçîâàòåëüñêèìè äàííûìè", - ãîâîðÿò â Netcraft.
Ñïåöèàëèñòû êîìïàíèè ãîâîðÿò, ÷òî â ñëó÷àå ñ Yahoo äëÿ ïðåäîòâðàùåíèÿ ïåðåõâàòà â íàñòðîéêàõ ïåðåäà÷è cookie äîñòàòî÷íî óêàçûâàòü ïàðàìåòð HttpOnly, åãî ïîíèìàþò âñå ñîâðåìåííûå áðàóçåðû.
Ðàíåå â ýòîì æå ãîäó ñõîæàÿ óÿçâèìîñòü áûëà áëîêèðîâàíà íà åùå îäíîì ñàéòå Yahoo - ychat.help.yahoo.com, ãäå ïîìèìî cookie ìîæíî áûëî äëÿ áîëüøåé âåðíîñòè ïîëó÷èòü è ïîäëèííûé SSL-ñåðòèôèêàò. Òîãäà íåêèå èñïàíñêèå çëîóìûøëåííèêè óæå óñïåëè âîñïîëüçîâàòüñÿ íåîñìîòðèòåëüíîñòüþ àäìèíèñòðàòîðîâ ïîðòàëà.
 îáîèõ ñëó÷àÿõ, ãîâîðÿò â Netcraft, cookie Yahoo ïîçâîëÿëè õàêåðàì ïîääåëûâàòü ïîëüçîâàòåëüñêèå ñåññèè, ïîçâîëÿþùèå ïîëó÷èòü äîñòóï ê ñîäåðæèìîìó ïî÷òû Yahoo Mail è äðóãèõ ïåðñîíàëüíûõ ñåðâèñîâ.
Èñòî÷íèê: cybersecurity.ru.
|