CSS-уязвимости безопасности в известнейших веб-сайтах мира

Дыры, обнаруженные в системе безопасности сайтов MSNBC.com, NYTimes.com и WashingtonPost.com, могли привести к фальсификации новостей.

В течение прошедшего месяца перед целым ряд крупнейших информационных сайтов встала проблема сбоя в системе их безопасности, известная как CSS (атаки, использующие ошибки в скриптах). Подобные баги опасны тем, что могут использоваться неавторизованными пользователями для размещения подложной информации на сайте, а также выполнения других злонамеренных действий.

Баги были обнаружены независимым экспертом безопасности Давидом де Витри (David De Vitry). Чтобы продемонстрировать, как работает уязвимость, де Витри разместил сразу на нескольких уважаемых сайтах ненастоящую новость.

Просмотр псевдоновости осуществляется после того, как посетитель сайта кликает на специальной гиперссылке, рассположенной на офциальном сайте. В этот момент фальшивая страница, которая берется с сайта ее автора, замещает собой оригинальное содержание сайта.

По результатам эксперимента Давида де Витри, одновременно три новостных сайта оказались уязвимыми к подобного рода атакам — MSNBC.com, NYTimes.com и WashingtonPost.com, .

«Если вымышленную историю в разных версиях положить одновременно на несколько новостных сайтов, людям больше ничего ни останется,как поверить в эту новость,» — прокомментировал результаты своего эксперимента Давид де Витри. После того, как Давид де Витри информировал руководство сайтов об обнаруженных уязвимостях, все бреши были исправлены.

Ошибка в скриптах — это хорошо известный тип дыр в системе безопасности, которые стали широко известны два года назад, благодаря исследованиям the Computer Emergency Response Team (CERT). Уязвимости типа CSS первоначально влияют на веб-страницу, которая принимает информацию на входе (формы поиска, обработка информации о кредитной карточке и др.)

Дыра CSS, обнаруженная де Витри на сайте MSNBC.com, присутствовала во входящей форме, используемой посетителями сайта для отправки статей по электронной почте другим пользователям Интернета. В сайте NYTimes.com, баг был в поисковой форме на странице новостей — New York Today. WashingtonPost.com содержал брешь CSS flaw на странице с финансовой секцией.

Согласно CERT, многие веб-сайты остаются до сих пор уязвимыми к атакам типа CSS, и системные администраторы не адекватно оценивают угрозу CSS-багов для посетителей этих сайтов. Среди опасностей, которые несут дыры типа CSS — риск потери целостности данных, перехват конфиденциальной информации с компьютеров пользователей и выполнение вредоносных скриптов.

Злоумышленники, использующие CSS-атаки, как правило, обманом заставляют пользователя кликнуть на гиперссылку, содержащую специальные характеристики, которые загружают программу JavaScript или другие данные. Веб-страница, появляющаяся на браузере жертвы, может действительно быть страницей какого-то известного сайта, но код, внедренный в страницу злоумышленником, может производить злонамеренные действия. Хотя ошибки CSS легко исправить, обнаружить их довольно трудно.

На этой неделе, было объявлено о целом ряде уязвимостей типа CSS в ряде крупных интернет компаний, таких как Yahoo, EBay, Microsoft, Netscape и др.