14種新的XS-Leaks(跨站點洩漏)攻擊影響所有現代Web瀏覽器
研究人員發現了14種針對現代瀏覽器的跨站點資料洩漏攻擊,包括Tor瀏覽器、Mozilla Firefox、谷歌Chrome、Microsoft Edge、Apple Safari和Opera等。
這些瀏覽器漏洞統稱為“XS-Leaks”,使惡意網站能夠在訪問者不知情的情況下在後臺與其他網站互動時從訪問者那裡收集個人資料。
該調查是由一組來自波鴻魯爾大學(RUB)和萊茵大學的學者所開展的跨站攻擊的綜合研究的結果。
研究人員在一份宣告中表示:“XS-Leaks 繞過了所謂的同源策略,這是瀏覽器抵禦各種型別攻擊的主要防禦措施之一。”
“同源策略的目的是防止資訊從受信任的網站被盜。在 XS-Leaks的情況下,攻擊者仍然可以識別網站的個別小細節。如果這些細節與個人資料相關聯,這些資料可能會洩露。”
這些漏洞源於網頁平臺中內建的支線通道,允許攻擊者從跨源的HTTP資源中收集這些資料,跨站點漏洞影響了一系列流行的瀏覽器,如Tor、Chrome、Edge、Opera、Safari Firefox、Samsung Internet,跨越不同的作業系統Windows、macOS、Android和iOS。
新類別的漏洞也不同於跨站點請求偽造 ( CSRF ) 攻擊,後者利用Web應用程式對瀏覽器客戶端的信任來代表使用者執行意外操作,它們可以被武器化為推斷有關使用者的資訊。
研究人員解釋稱:“它們是對網際網路隱私的重大威脅,因為僅僅是瀏覽一個網頁就可能暴露受害者的個人喜好傾向。”“XS-Leaks利用網站之間互動時暴露的小塊資訊來揭露使用者的敏感資訊,比如他們在其他web應用程式中的資料,他們本地環境的細節,或者他們連線的內部網路。”
其核心思想是,由於同源限制,網站不允許直接訪問其他網站上的資料(即,讀取伺服器響應),流氓線上入口網站可以嘗試從一個網站載入特定的資源或API端點,比如一個線上銀行網站,並推斷出受害者的交易歷史。或者,洩漏的來源可能是基於時間的側通道或投機性執行攻擊,如Meltdown和Spectre。
作為緩解措施,研究人員建議拒絕所有事件處理程式訊息,最大限度地減少錯誤訊息的發生,應用全侷限制限制,並在發生重定向時建立新的歷史屬性。
在終端使用者端,在Firefox中開啟第一方隔離和增強跟蹤預防已經被發現降低了XS-Leaks的適用性。Safari的智慧跟蹤預防功能,在預設情況下會阻止第三方cookie,還能防止所有非基於彈出視窗的洩露。
研究人員說:“大多數XS-Leaks的根本原因是固有的網頁設計。”“通常情況下,應用程式在沒有任何錯誤操作的情況下,很容易受到跨站點資訊洩露的影響。在瀏覽器層面修復XS-Leaks漏洞的根本原因是一個挑戰,因為在很多情況下,這樣做會破壞現有的網站。”
隨著資料洩露事件的頻繁發生,任何小型資料洩露都可能給黑客機會,從而將一些小漏洞連結起來產生破壞性極強的影響。
軟體安全關係著資料安全,更影響著社會生活的正常運轉。美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD)有資料顯示,90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致!而在OWASP Top10中,其中60-70%的安全漏洞型別是通過 原始碼靜態分析技術檢測出來。
隨著對網路安全加大重視力度,越來越多的企業從軟體開發時就利用程式碼安全檢測等手段通過加強程式碼安全以減少系統漏洞,從而在一定程度上提高軟體安全,降低因系統漏洞被攻擊引起的網路安全風險。
參讀連結:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2846398/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 新型TLS攻擊可對安全站點發起跨站指令碼攻擊,至少影響140萬臺web伺服器TLS指令碼Web伺服器
- 【譯】瀏覽器如何工作:在現代web瀏覽器場景的之下瀏覽器Web
- 幾種可以對瀏覽器進行核心攻擊的方法瀏覽器
- Web安全之跨站指令碼攻擊(XSS)Web指令碼
- 網站被CC攻擊會有哪些影響網站
- 總結 XSS 與 CSRF 兩種跨站攻擊
- 詳解瀏覽器跨域的幾種方法瀏覽器跨域
- 勒索軟體攻擊影響
- 瀏覽器跨域瀏覽器跨域
- forEach()相容所有瀏覽器瀏覽器
- Polyfill JS 攻擊影響超過 100,000 個網站JS網站
- 一種新的攻擊方法——Java-Web-Expression-Language-InjectionJavaWebExpress
- 寬位元組XSS跨站攻擊
- 新的TLS加密破壞攻擊也會影響新的TLS 1.3協議TLS加密協議
- Laravel 瀏覽器跨域Laravel瀏覽器跨域
- 谷歌瀏覽器跨域谷歌瀏覽器跨域
- 如何使用css實現跨瀏覽器的最小高度?CSS瀏覽器
- 滲透測試服務之瀏覽器攻擊分析瀏覽器
- [譯] 2019版 web 瀏覽器現狀Web瀏覽器
- 詳解瀏覽器跨域訪問的幾種辦法瀏覽器跨域
- 從零實現的瀏覽器Web指令碼瀏覽器Web指令碼
- XSS跨站指令碼攻擊介紹指令碼
- 簡單易懂的XSS(跨站指令碼攻擊)指令碼
- jQuery 跨站指令碼漏洞影響大量網站jQuery指令碼網站
- 「查缺補漏」高頻考點瀏覽器面試題瀏覽器面試題
- JS實現Web應用或網站傳送瀏覽器Notification通知JSWeb網站瀏覽器
- 徹底理解瀏覽器的跨域瀏覽器跨域
- Django中如何防範CSRF跨站點請求偽造攻擊Django
- ie瀏覽器退役後還能用嗎 ie瀏覽器停止更新服務以後有影響嗎瀏覽器
- 深入現代瀏覽器的HTTP快取機制瀏覽器HTTP快取
- Web Worker應用之CORS攻擊實現botnet殭屍網路節點攻擊WebCORS
- Spring中防止跨站指令碼 (XSS)攻擊Spring指令碼
- 聊兩句XSS(跨站指令碼攻擊)指令碼
- 瀏覽器工作原理(22) - JavaScript是如何影響DOM樹構建的?瀏覽器JavaScript
- Web瀏覽器裡的那些事Web瀏覽器
- 最具影響力的汽車駭客攻擊事件事件
- 跨瀏覽器測試需要面臨哪些挑戰?跨瀏覽器測試工具分享瀏覽器
- Brow.sh:現代的基於文字的瀏覽器瀏覽器