כנראה ששנת 2006 מציגה מגמות חדשות בכל הקשור לניצול מפגעים אפליקטיביים באינטרנט. מתקפות Buffer overflow מאבדות את הבכורה ובראש צועדות שלוש מתקפות ותיקות אחרות: Cross Site Scripting, לאחריה SQL injection ולבסוף PHP include. רק לאחר מכן Buffer Overflow. הנתונים באדיבות Darkreading, בהתבסס על סקר שעתיד להתפרסם בשבוע הקרוב. ברשימה מעניינת טוען Jeremiah Grossman שהדבר החם הבא בתחום מתקפות web הוא מתקפות Cross Site Request Forgery (להלן CSRF). זה נשמע קצת כמו Cross Site Scripting (להלן XSS), אך זה שונה.
ב-XSS המשתמש נכנס לאתר דרך קישור מסוים והאתר מריץ קוד בדפדפן המשתמש, קוד שהוטמן בקישור לאתר. זו מתקפה שמנצלת את האמון שנותן המשתמש באתר אליו הוא גולש (האתר עצמו תמים. הוא חשוף ל-XSS ומאפשר לגורם שלישי לגרום לו להריץ קוד בצד המשתמש). ב-CSRF אני גולש לי לאתר הבנק שלי ובתמימות רבה גם גולש לאתר זדוני. האתר הזדוני מריץ קוד בדפדפן שלי שמפנה בקשה לגיטימית לחלוטין (להעביר כסף לחשבון התוקף) לאתר הבנק. מאחר ואני מזוהה כבר לאתר הבנק ומאחר והבקשה לגיטימית הבקשה תטופל כאילו שאני ביקשתי אותה. זו מתקפה שמנצלת את האמון של האתר הלגיטימי בי (כלומר הפוך מ-XSS).
לקריאה נוספת: http://en.wikipedia.org/wiki/XSS, http://en.wikipedia.org/wiki/CSRF
זו הפעם השלישית שאני כותב את הרשימה הזו. אם זה נמחק הפעם אני לא כותב מחדש!!!
בבלוג זה
בכל הבלוגים
