14種新的XS-Leaks(跨站點洩漏)攻擊影響所有現代Web瀏覽器

研究人員發現了14種針對現代瀏覽器的跨站點資料洩漏攻擊，包括Tor瀏覽器、Mozilla Firefox、谷歌Chrome、Microsoft Edge、Apple Safari和Opera等。

這些瀏覽器漏洞統稱為“XS-Leaks”，使惡意網站能夠在訪問者不知情的情況下在後臺與其他網站互動時從訪問者那裡收集個人資料。

該調查是由一組來自波鴻魯爾大學(RUB)和萊茵大學的學者所開展的跨站攻擊的綜合研究的結果。

研究人員在一份宣告中表示：“XS-Leaks 繞過了所謂的同源策略，這是瀏覽器抵禦各種型別攻擊的主要防禦措施之一。”

“同源策略的目的是防止資訊從受信任的網站被盜。在 XS-Leaks的情況下，攻擊者仍然可以識別網站的個別小細節。如果這些細節與個人資料相關聯，這些資料可能會洩露。”

這些漏洞源於網頁平臺中內建的支線通道，允許攻擊者從跨源的HTTP資源中收集這些資料，跨站點漏洞影響了一系列流行的瀏覽器，如Tor、Chrome、Edge、Opera、Safari Firefox、Samsung Internet，跨越不同的作業系統Windows、macOS、Android和iOS。

新類別的漏洞也不同於跨站點請求偽造 ( CSRF ) 攻擊，後者利用Web應用程式對瀏覽器客戶端的信任來代表使用者執行意外操作，它們可以被武器化為推斷有關使用者的資訊。

研究人員解釋稱:“它們是對網際網路隱私的重大威脅，因為僅僅是瀏覽一個網頁就可能暴露受害者的個人喜好傾向。”“XS-Leaks利用網站之間互動時暴露的小塊資訊來揭露使用者的敏感資訊，比如他們在其他web應用程式中的資料，他們本地環境的細節，或者他們連線的內部網路。”

其核心思想是，由於同源限制，網站不允許直接訪問其他網站上的資料(即，讀取伺服器響應)，流氓線上入口網站可以嘗試從一個網站載入特定的資源或API端點，比如一個線上銀行網站，並推斷出受害者的交易歷史。或者，洩漏的來源可能是基於時間的側通道或投機性執行攻擊，如Meltdown和Spectre。

作為緩解措施，研究人員建議拒絕所有事件處理程式訊息，最大限度地減少錯誤訊息的發生，應用全侷限制限制，並在發生重定向時建立新的歷史屬性。

在終端使用者端，在Firefox中開啟第一方隔離和增強跟蹤預防已經被發現降低了XS-Leaks的適用性。Safari的智慧跟蹤預防功能，在預設情況下會阻止第三方cookie，還能防止所有非基於彈出視窗的洩露。

研究人員說:“大多數XS-Leaks的根本原因是固有的網頁設計。”“通常情況下，應用程式在沒有任何錯誤操作的情況下，很容易受到跨站點資訊洩露的影響。在瀏覽器層面修復XS-Leaks漏洞的根本原因是一個挑戰，因為在很多情況下，這樣做會破壞現有的網站。”

隨著資料洩露事件的頻繁發生，任何小型資料洩露都可能給黑客機會，從而將一些小漏洞連結起來產生破壞性極強的影響。

軟體安全關係著資料安全，更影響著社會生活的正常運轉。美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)有資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致!而在OWASP Top10中，其中60-70%的安全漏洞型別是通過 原始碼靜態分析技術檢測出來。

隨著對網路安全加大重視力度，越來越多的企業從軟體開發時就利用程式碼安全檢測等手段通過加強程式碼安全以減少系統漏洞，從而在一定程度上提高軟體安全，降低因系統漏洞被攻擊引起的網路安全風險。

參讀連結：