Saturday, March 3, 2007

Phát hiện lỗi nghiêm trọng trong Yahoo! 360

Lợi dụng lỗi Cross Site Request Forgery của Yahoo! 360, kẻ xấu có thể xóa toàn bộ lời bình (comment) cũng như các bài viết (entry) trong blog của bạn.

Lỗ hổng nghiêm trọng ở chỗ cách khai thác rất dễ dàng. Kẻ xấu chỉ cần dụ bạn truy cập vào một đường link là hắn đã có thể dễ dàng thao túng blog của bạn. Cách tấn công dễ nhất xem chừng là tạo một entry trên Yahoo! 360 chứa các thẻ img liên kết đến các đường link xóa comment. Khi bạn vào đọc entry đó, ngay lập tức comment trong blog của bạn sẽ bị xóa. Thậm chí nếu muốn, khi bạn đang đọc bài viết này, tôi cũng có thể âm thầm xóa comment trên blog của bạn (điều kiện duy nhất là bạn vẫn chưa logout ra khỏi Yahoo!). Meomun, người đầu tiên phát hiện lỗi này, cho biết cách làm này có thể xóa luôn cả entry và toàn bộ blog của bạn. Để tự bảo vệ mình, bạn nên:
  • logout ra khỏi Yahoo! ngay khi sử dụng xong.
  • tắt chức năng tải img trong trình duyệt
Cross Site Request Forgery là một lỗi hết sức phổ biến và cực kì lợi hại. Chính sự kết hợp giữa XSS và CSRF đã đẻ ra một thế hệ worm mới mang tên web worm với các đại diện tiêu biểu là samy, MySpace, AdultSpace hay Xanga. Jerimeah Grossman, CTO của Whitehat Security, gọi CSRF là người khổng lồ đang ngủ:
Cross-Site Request Forgery (aka CSRF or XSRF) is a dangerous vulnerability present in just about every website. An issue so pervasion and fundamental to the way the Web is designed to function we've had a difficult time even reporting it as a "vulnerability". Which is also a main reason why CSRF does not appear on the Web Security Threat Classification or the OWASP Top 10. Times are changing and it’s only a matter of time before CSRF hacks its way into the mainstream consciousness. Chris Shiflett (principal of OmniTI) and I were speaking about this today and how to best convey the issues importance. CSRF may in fact represent an industry challenge far exceeding that of Cross-Site Scripting (XSS).
Cách đây chừng một tháng, tôi cũng có tìm thấy một lỗi CSRF trong forum của HVAOnline. Sau khi sửa chữa xong, BQT HVAOnline cũng đã mở một topic thảo luận khá sôi nổi về cách thức phòng chống CSRF về phía server-side. Tôi khuyên bạn nên đọc về CSRF nếu bạn là một web developer!

1 comment:

Trang said...

hi, blog 360 cua ban minh ko biet co bi loi giong vay hong ma gio ko con vao duoc nua, http://360.yahoo.com/haycungbaovesusong, co cach nao phuc hoi lai dc ko ban?