據(jù)BleepingComputer消息,近日�����,波鴻魯爾大學(xué) (RUB) 和 Niederrhein 應(yīng)用科學(xué)大學(xué)的安全研究人員發(fā)現(xiàn)了14種針對(duì)網(wǎng)絡(luò)瀏覽器的新型“XS-Leak”跨站點(diǎn)泄漏攻擊�,包括谷歌��、微軟����、蘋果和火狐等主流瀏覽器都受到影響。
XS-Leaks攻擊的原理是����,攻擊者可以繞過Web 瀏覽器中的同源策略,惡意網(wǎng)站借此隱藏在可信的網(wǎng)站背后�����,這樣就可以竊取用戶輸入的各類信息。例如��,XS-Leak攻擊可以讓惡意網(wǎng)站藏在后臺(tái)��,從郵件網(wǎng)站中竊取電子郵件收件箱的內(nèi)容����。
眾所周知,跨站點(diǎn)泄漏攻擊并不是一個(gè)新的概念����。2019年,德國達(dá)姆施塔特工業(yè)大學(xué)的研究員在Facebook���、推特和 Microsoft Live 等流行的消息和社交媒體平臺(tái)的圖像分享特性中發(fā)現(xiàn)了一個(gè) XSLeak 信道��。
從本質(zhì)上來看看���,當(dāng)用戶在私密聊天線程中上傳圖像后,主機(jī)服務(wù)會(huì)為該資源創(chuàng)建一個(gè)唯一的 URL��,僅供線程內(nèi)的各方訪問�����。攻擊者可濫用該機(jī)制為目標(biāo)用戶創(chuàng)建一個(gè)唯一的URL,之后強(qiáng)制訪客的瀏覽器訪問另外一個(gè)網(wǎng)站請(qǐng)求相同的URL����。
也正如安全人員所說的那樣,并非所有的泄露攻擊都可以識(shí)別�、歸類為XS 泄漏。為此安全研究人員想要更加系統(tǒng)的搜集新的XS-Leaks攻擊�����,評(píng)估這些攻擊的緩解措施是否有效��,以便可以更好地幫助企業(yè)做好安全防護(hù)�����。
尋找新的XS-Leaks
為了更好地尋找新的XS-Leaks攻擊��,安全研究人員首先確定了跨站點(diǎn)泄漏攻擊的三個(gè)特征:包含方法���、泄漏技術(shù)和可檢測的差異,并評(píng)估了大量Web瀏覽器的三大特征�。
在基于上述要素創(chuàng)建模型后,研究人員發(fā)現(xiàn)了 34 個(gè)XS-Leaks攻擊�����,其中 14 個(gè)是新型的攻擊(如下圖用加號(hào)標(biāo)記)。
緊接著����,安全研究人員對(duì)當(dāng)下使用的56 種瀏覽器和操作系統(tǒng)組合,測試了34種XS-Leak攻擊�,以確定每個(gè)組合的脆弱性,并構(gòu)建了一個(gè)名為 XSinator 的 Web 應(yīng)用程序����,由以下三部分組成:
一個(gè)用來測試的站點(diǎn),以此測試已知和新型的X-Leaks;
一個(gè)易受攻擊的Web 應(yīng)用程序����,用來模擬資源在各狀態(tài)下的行為;
一個(gè)包含所有先前測試結(jié)果的數(shù)據(jù)庫。
這樣的話�,安全研究人員可以訪問XSinator頁面,并運(yùn)行測試�,查看瀏覽器和操作系統(tǒng)在XS-Leaks方面的安全性。
為了方便查找�����,安全研究人員列舉了各種瀏覽器易受攻擊的 XS 泄漏的完整列表:
如何防御
針對(duì)以上這些問題,瀏覽器開發(fā)人員該如何緩解或解決這些側(cè)信道攻擊帶來的風(fēng)險(xiǎn)?
研究人員建議�,應(yīng)拒絕所有的事件處理器信息,盡量減少錯(cuò)誤信息的發(fā)生��,應(yīng)用全局限制��,并在重定向發(fā)生時(shí)創(chuàng)建一個(gè)新的歷史屬性�����。
還有一個(gè)有效緩解攻擊的辦法是使用X-Frame-Options來阻止iframe加載HTML 資源�����,并實(shí)現(xiàn)CORP標(biāo)頭來控制頁面是否可以嵌入資源���。
參與此次研究的Lukas Knittel表示��,“根據(jù)網(wǎng)站的不同,XS-Leaks攻擊會(huì)對(duì)用戶產(chǎn)生不同的影響�����。用戶可以使用最新的瀏覽器��,通過禁用第三方cookie來防御大多數(shù)的XS-Leaks,這樣的話即使網(wǎng)站沒有更新的緩解措施��,也會(huì)有一定的效果�������!
同時(shí)安全研究人員還表示���,目前已經(jīng)將所有發(fā)現(xiàn)的問題反饋給各瀏覽器開發(fā)團(tuán)隊(duì)�����,開發(fā)商目前正在嘗試解決這些問題�。因此�,這些問題應(yīng)該可以在當(dāng)前可用的版本中進(jìn)行修復(fù)。
值得一提的是���,未來隨著新的瀏覽器功能的增加���,必定也會(huì)產(chǎn)生新的潛在的XS-Leak攻擊,因此安全研究人員將持續(xù)進(jìn)行關(guān)注�����,他們可能會(huì)進(jìn)一步開發(fā)出相應(yīng)的網(wǎng)站掃描工具。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
