اہم ویب سائٹس پر قابو پانے میں دشواری کا سامنا کرنا پڑتا ہے

دو پرنسٹن یونیورسٹی کے ماہرین نے کئی اہم سائٹس پر کوڈنگ غلطی پایا جو ذاتی ڈیٹا کو خطرہ پہنچا سکتے ہیں اور ایک خطرناک کیس میں، ایک بینک اکاؤنٹ نکالا ہے.

غلطی کی قسم، جسے کراس سائٹ کی درخواست بھول گئی ہے (CSRF)، حملہ آور کو ایک شکار کے ذریعہ کسی ویب سائٹ پر اعمال انجام دینے کی اجازت دیتا ہے جو سائٹ میں پہلے سے ہی لاگ ان ہوتا ہے.

علم کی کمی کی وجہ سے ویب ڈویلپرز کی طرف سے بڑے پیمانے پر CSRF غلطیوں کو نظر انداز کر دیا گیا ہے، ولیم زیلر لکھا ہے. ایڈورڈ فیلٹن، جنہوں نے اپنے نتائج پر ایک تحریر کاغذ تحریر کیا.

[مزید پڑھنے: آپ کے ونڈوز پی سی سے میلویئر کو کیسے ہٹا دیں]

نیو یارک ٹائمز کی ویب سائٹس پر غلطی ملی؛ ING براہ راست، ایک امریکی بچت بینک؛ Google کا YouTube؛ اور میٹیٹفلٹر، ایک بلاگنگ سائٹ.

ایک CSRF غلطی کا استحصال کرنے کے لئے، ایک حملہ آور کو ایک خاص ویب صفحہ بنانا پڑتا ہے اور اس صفحے کو شکار بنانا پڑتا ہے. بدسلوکی ویب سائٹ کو شکار سائٹ کے براؤزر کے ذریعہ کسی دوسری سائٹ پر کراس سائٹ کی درخواست بھیجنے کے لئے کوڈت ہے.

بدقسمتی سے انٹرنیٹ، ایچ ٹی ایم ایل کو نافذ کرنے والے پروگرامنگ کی زبان میں دو اقسام کی درخواستیں آسان بناتی ہیں، جن میں سے دونوں مصنفین نے لکھا.

یہ حقیقت یہ بتاتا ہے کہ ویب ڈویلپرز پروگرامنگ لفافے کو ویب سروسز کو ڈیزائن کرنے کے لئے زور دے رہے ہیں لیکن بعض اوقات غیر منظم نتائج کے ساتھ.

"CSRF کی بنیادی وجہ اور اسی طرح کے نقصانات شاید میں واقع ہیں. آج کے ویب پروٹوکولز کی پیچیدگیوں اور ویب کے آہستہ آہستہ ارتقاء کو ایک ڈیٹا پریزنٹیشن کی سہولیات سے انٹرایکٹو سروسز کے لئے پلیٹ فارم تک لے جا سکتا ہے. "

کچھ ویب سائٹس ایک سیشن کی شناخت کنندہ، کوکی میں محفوظ کردہ معلومات کا ایک ٹکڑا، یا براؤزر کے اندر ڈیٹا فائل، جب کسی شخص کو سائٹ پر لاگو ہوتا ہے. سیشن آر ای ایف کے حملے کے دوران، سیشن کی شناخت کنندہ کو جانچ پڑتال کی جاتی ہے، مثال کے طور پر، ایک آن لائن خریداری میں، اس بات کی توثیق کرنے کے لئے کہ براؤزر ٹرانزیکشن میں مصروف ہے.

ایک سی آر آر ایف کے حملے کے دوران، ہیکر کی درخواست شکار کے براؤزر کے ذریعے منظور ہو چکا ہے. ویب سائٹ سیشن کی شناختی کی جانچ پڑتال کرتا ہے، لیکن ویب سائٹ اس بات کا یقین نہیں کر سکتا کہ یہ درخواست صحیح شخص سے آئی ہے.

نیویارک ٹائمز کی ویب سائٹ پر CSRF مسئلہ، تحقیق کے کاغذ کے مطابق، ایک حملہ آور کو حاصل کرنے کی اجازت دیتا ہے اس صارف کا ای میل ایڈریس جو سائٹ میں لاگ ان ہو. پھر اس کا پتہ ممکنہ طور پر پھیل سکتا ہے.

اخبار کی ویب سائٹ ایک ایسا آلہ ہے جس میں لاگ ان صارفین کو کسی اور کو ایک کہانیاں ای میل کی اجازت دیتی ہے. اگر شکار کا دورہ کیا گیا تو، ہیکر کی ویب سائٹ خود بخود شکار کے براؤزر کے ذریعہ کاغذ کی ویب سائٹ سے ای میل بھیجنے کے لئے ایک کمانڈ بھیجتا ہے. اگر منزل ای میل ایڈریس ہیکر کے طور پر ہی ہے تو، شکار کا ای میل پتہ انکشاف کیا جائے گا.

24 ستمبر تک، غلطی طے نہیں کی گئی تھی، اگرچہ مصنفین نے لکھا ہے کہ انہوں نے ستمبر میں اخبار کو مطلع کیا 2007.

آئی این جی کی مسئلہ زیادہ خطرناک نتائج تھے. زیلر اور فیلٹ نے لکھا کہ سی ایس آر ایف کے غلطی نے ایک اضافی اکاؤنٹ کو شکار کی جانب سے پیدا کیا. اس کے علاوہ، ایک حملہ آور نے شکار کا پیسہ اپنے اکاؤنٹ میں منتقل کر سکتا ہے. انہوں نے لکھا ہے کہ آئی جی نے اس مسئلے کو حل کر دیا ہے.

میٹیٹفائل کی ویب سائٹ پر، ہیکر ایک شخص کے پاس ورڈ حاصل کرسکتا ہے. یو ٹیوب پر، ایک حملہ صارف کے "پسند" میں ویڈیوز شامل کرسکتا ہے اور دوسرے اعمال کے ذریعہ کسی صارف کی جانب سے خود مختار پیغامات بھیج سکتا ہے. دونوں سائٹس پر، CSRF کے مسائل کو طے کر دیا گیا ہے.

خوش قسمتی سے، CSRF غلطیوں کو تلاش کرنے اور آسان کرنے کے لئے آسان ہے، جو مصنف اپنے کاغذ میں تکنیکی تفصیلات فراہم کرتے ہیں. انہوں نے فائر فاکس اضافی بھی تخلیق کیا ہے جس میں سی ایس آر ایف حملوں کے بعض حملوں کے خلاف دفاع ہے.