Bir sosyal tartışma ve haber sitesi olan Reddit’te CSRF (Cross- Site Forgery) güvenlik açığı; yalnız yetişkinlerin erişebileceği içerikleri yetişkin olmayan kullanıcılarında görüntülemesine zorladı.
Orta önem derecesine sahip güvenlik hatası, belirli ayarları devre dışı bıraktı. Bu, kötü niyetli ajanların, yetişkin olmayan kullanıcıları içeriğe yönlendirebileceği ihtimalini ortaya çıkardı.
Hata raporunda ise zafiyet şu şekilde belirtiliyor: “https://old.reddit.com/over18 için durum değiştiren bir POST isteği, hassas eylemi CSRF saldırılarına karşı savunmasız bırakan uygun modhash doğrulayıcıdan yoksundu. Saldırgan, kullanıcıları eylemi gerçekleştirmeleri için kandırabilir.”
Saldırgan “On sekiz yaşından büyüğüm” seçeneğini etkinleştirebilir/devre dışı bırakabilir ve kurban hesabında yetişkinlere uygun içerik tercihini görüntülemeye istekli olabilir.”
Kurbanın Reddit hesabı oluşturulduktan sonra https://old.reddit.com/prefs/ adresine gidip bu tarafta 18 yaşından büyük ve yetişkinlere uygun içeriği görüntülemenin etkin olduğu seçeneği kapatmayla başlar.
Daha sonra kullanıcı, “iş için güvenli değil” (NSFW) alt dizinini https://www.reddit.com/r/<nsfw_subreddit_here> ziyaret eder, burada kullanıcının yetişkinlere uygun içeriği görmek isteyip istemediğini soran bir pencere vardır. Sonrasında kötü amaçlı içerikten oluşan hazırlanmış bir HTML dosyasını açarlarsa, ayarları güncellenir ve farkında olmadan NSFW içeriğini görüntüleyebilirler.
Reddit tarafından Sorun düzeltildi ve güvenlik araştırmacısı, bunu bildirdiği için 500 dolarlık bir hata ödülü aldı.
Kaynak:
