普林斯顿大学的研究人员们今天表示,他们发现世界上许多著名站点都包含CSRF攻击漏洞,连ING都不例外,最严重的情况可以导致攻击者将受害人的账户搬空。CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。
CSRF的定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。同时他们还相继在YouTube、纽约时报等著名网站发现了CSRF漏洞,即使采用了SSL连接依然无法保护用户免受这样的攻击。
YouTube上的漏洞可以让黑客自由更改用户的收藏夹清单,并伪装用户发送电子邮件,甚至接管整个账户,并且研究人员还表示,他们发现的大网站CSRF漏洞仅仅是冰山一角。