CSRF у вас дома

Умные дома с интеллектуальными системами управления могут иметь веб-интерфейс. Более того, веб-контроль некоторых умных домов может быть уязвим к тем же атакам, которые проводят на обычные веб-приложения. В этом я сегодня убедился, прочитав любопытный пост вот на этом блоге. Автор рассказывает как его друг, который живет во Франции, однажды показал ему веб-интерфейс управления своим домом. Выяснилось, что веб-приложение, отвечающее за контроль освещения рождественской елки уязвимо к CSRF, с помощью которой атакующий мог включать/выключать елку =) Кроме того, веб-приложение также содержало активную XSS, что давало возможность управления всем домом.

Как ни странно, в выдаче гугла нашелся еще один умный дом с таким же веб-интерфейсом. Автор предположил, что каждый раз, когда гуглбот проходил по ссылке, в доме включался или выключался свет =)

Надеюсь, разработчики подобных решений задумаются о безопасности своих веб-приложений, иначе клиенты этих компаний будут в панике продавать свои умные дома, рассказывая о поселившихся в них приведениях =)

С наступающим!


4 comments:

  1. witdex, 13. April 2009, 7:23

    класс ))
    радует что будущее без вебпрограммистов не возможно, если такие системы получат обширное применение, будем править миром ))

     
  2. Веля Солнышкин, 1. May 2009, 22:59

    оО,круть)))Не хватало только скулей в холодильнике и инклудов в шкафу)))
    Кстати, XSS – это же доступ не только к html и javascript ? А как же ajax,JSON и т.д. ?

     
  3. Raz0r, 2. May 2009, 15:33

    Что такое XSS? Это внедренный в пользовательский контекст javascript-код, т.е. все, с чем может оперировать javascript, может быть использовано, включая доступ к DOM, совершению AJAX-вызовов и т.д.

     
  4. Shred, 21. July 2009, 16:34

    ыыы, это зачёт. Помоему CSRF баги совместо с хсс самые висёлые и много обещающие баги в истории, они позволяют вытворять в наше время невероятные вещи, всё ограничивается только фантазией. Буфер оверфлоу нервно курит в сторонке (:

     

Write a comment: