CSRF у вас дома

Умные дома с интеллектуальными системами управления могут иметь веб-интерфейс. Более того, веб-контроль некоторых умных домов может быть уязвим к тем же атакам, которые проводят на обычные веб-приложения. В этом я сегодня убедился, прочитав любопытный пост вот на этом блоге. Автор рассказывает как его друг, который живет во Франции, однажды показал ему веб-интерфейс управления своим домом. Выяснилось, что веб-приложение, отвечающее за контроль освещения рождественской елки уязвимо к CSRF, с помощью которой атакующий мог включать/выключать елку =) Кроме того, веб-приложение также содержало активную XSS, что давало возможность управления всем домом.

Как ни странно, в выдаче гугла нашелся еще один умный дом с таким же веб-интерфейсом. Автор предположил, что каждый раз, когда гуглбот проходил по ссылке, в доме включался или выключался свет =)

Надеюсь, разработчики подобных решений задумаются о безопасности своих веб-приложений, иначе клиенты этих компаний будут в панике продавать свои умные дома, рассказывая о поселившихся в них приведениях =)

С наступающим!


Posted

in

by

Tags:

Comments

4 responses to “CSRF у вас дома”

  1. witdex Avatar
    witdex

    класс ))
    радует что будущее без вебпрограммистов не возможно, если такие системы получат обширное применение, будем править миром ))

  2. Веля Солнышкин Avatar
    Веля Солнышкин

    оО,круть)))Не хватало только скулей в холодильнике и инклудов в шкафу)))
    Кстати, XSS – это же доступ не только к html и javascript ? А как же ajax,JSON и т.д. ?

  3. Raz0r Avatar

    Что такое XSS? Это внедренный в пользовательский контекст javascript-код, т.е. все, с чем может оперировать javascript, может быть использовано, включая доступ к DOM, совершению AJAX-вызовов и т.д.

  4. Shred Avatar

    ыыы, это зачёт. Помоему CSRF баги совместо с хсс самые висёлые и много обещающие баги в истории, они позволяют вытворять в наше время невероятные вещи, всё ограничивается только фантазией. Буфер оверфлоу нервно курит в сторонке (:

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.