社区编辑申请
注册/登录
14种新型浏览器攻击出现,影响谷歌、微软、苹果和火狐浏览器
安全
攻击者可滥用该机制为目标用户创建一个唯一的URL,之后强制访客的浏览器访问另外一个网站请求相同的URL。

据BleepingComputer消息,近日,波鸿鲁尔大学 (RUB) 和 Niederrhein 应用科学大学的安全研究人员发现了14种针对网络浏览器的新型“XS-Leak”跨站点泄漏攻击,包括谷歌、微软、苹果和火狐等主流浏览器都受到影响。

XS-Leaks攻击的原理是,攻击者可以绕过Web 浏览器中的同源策略,恶意网站借此隐藏在可信的网站背后,这样就可以窃取用户输入的各类信息。例如,XS-Leak攻击可以让恶意网站藏在后台,从邮件网站中窃取电子邮件收件箱的内容。

众所周知,跨站点泄漏攻击并不是一个新的概念。2019年,德国达姆施塔特工业大学的研究员在Facebook、推特和 Microsoft Live 等流行的消息和社交媒体平台的图像分享特性中发现了一个 XSLeak 信道。

从本质上来看看,当用户在私密聊天线程中上传图像后,主机服务会为该资源创建一个唯一的 URL,仅供线程内的各方访问。攻击者可滥用该机制为目标用户创建一个唯一的URL,之后强制访客的浏览器访问另外一个网站请求相同的URL。

也正如安全人员所说的那样,并非所有的泄露攻击都可以识别、归类为XS 泄漏。为此安全研究人员想要更加系统的搜集新的XS-Leaks攻击,评估这些攻击的缓解措施是否有效,以便可以更好地帮助企业做好安全防护。

寻找新的XS-Leaks

为了更好地寻找新的XS-Leaks攻击,安全研究人员首先确定了跨站点泄漏攻击的三个特征:包含方法、泄漏技术和可检测的差异,并评估了大量Web浏览器的三大特征。

在基于上述要素创建模型后,研究人员发现了 34 个XS-Leaks攻击,其中 14 个是新型的攻击(如下图用加号标记)。

紧接着,安全研究人员对当下使用的56 种浏览器和操作系统组合,测试了34种XS-Leak攻击,以确定每个组合的脆弱性,并构建了一个名为 XSinator 的 Web 应用程序,由以下三部分组成:

  • 一个用来测试的站点,以此测试已知和新型的X-Leaks;
  • 一个易受攻击的Web 应用程序,用来模拟资源在各状态下的行为;
  • 一个包含所有先前测试结果的数据库。

这样的话,安全研究人员可以访问XSinator页面,并运行测试,查看浏览器和操作系统在XS-Leaks方面的安全性。

为了方便查找,安全研究人员列举了各种浏览器易受攻击的 XS 泄漏的完整列表:

如何防御

针对以上这些问题,浏览器开发人员该如何缓解或解决这些侧信道攻击带来的风险?

研究人员建议,应拒绝所有的事件处理器信息,尽量减少错误信息的发生,应用全局限制,并在重定向发生时创建一个新的历史属性。

还有一个有效缓解攻击的办法是使用X-Frame-Options来阻止iframe加载HTML 资源,并实现CORP标头来控制页面是否可以嵌入资源。

参与此次研究的Lukas Knittel表示,“根据网站的不同,XS-Leaks攻击会对用户产生不同的影响。用户可以使用最新的浏览器,通过禁用第三方cookie来防御大多数的XS-Leaks,这样的话即使网站没有更新的缓解措施,也会有一定的效果。”

同时安全研究人员还表示,目前已经将所有发现的问题反馈给各浏览器开发团队,开发商目前正在尝试解决这些问题。因此,这些问题应该可以在当前可用的版本中进行修复。

值得一提的是,未来随着新的浏览器功能的增加,必定也会产生新的潜在的XS-Leak攻击,因此安全研究人员将持续进行关注,他们可能会进一步开发出相应的网站扫描工具。

参考来源:

https://www.bleepingcomputer.com/news/security/researchers-discover-14-new-data-stealing-web-browser-attacks/

 

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-06-20 22:37:25

Linux操作系统命令

2022-06-16 17:02:49

微软智能云混合云Azure

2022-06-15 17:55:43

IE浏览器Windows微软

2022-06-22 10:23:42

互联网用户IE浏览器退休

2022-05-29 16:59:21

微软Edge浏览器

2022-06-16 07:32:38

VSCodePython插件

2022-05-26 11:06:33

加密勒索软件网络攻击

2022-06-13 06:33:04

浏览器浏览器插件

2022-06-28 05:35:46

勒索软件网络安全网络攻击

2022-06-12 12:51:46

iOS 16苹果MacOs

2022-05-11 09:18:04

微软PowerShell降级

2022-06-09 06:57:53

Windows 10Windows 11微软

2022-05-10 06:01:17

Windows 11微软操作系统

2022-06-29 16:33:52

安全信息泄露信息安全

2022-05-26 11:01:24

2022-04-27 11:19:44

DDoS 攻击TCP 反射攻击反射放大攻击

2022-06-20 11:51:57

基础设施保护网络攻击

2022-05-26 14:53:14

恶意软件ChromeLoad浏览器

2022-06-05 08:12:56

LinuxLinux Lite浏览器

2022-06-06 14:32:36

同话题下的热门内容

超低成本 DDoS 攻击来袭,看 WAF 如何绝地防护都怪二维码,造就了网友们的社死现场...2022年上半年五大勒索软件攻击事件谁家的加密密钥,写死在代码里?就因为QQ登录二维码,全网发生了大规模的社死黑客组织对印度政府发动了网络攻击如何最大限度提升智能建筑中的网络安全?监管机构禁令频发,谷歌将被禁止追踪数百万用户数据

编辑推荐

付费成人网站OnlyFans数百名创作者内容泄露,可能有你关注的YouTube博主2019年最近发现的网络安全事件权威解读 | 网络安全等级保护2.0标准体系以及主要标准2019年网络安全事件回顾(国际篇)2019年网络安全事件回顾(国内篇)
我收藏的内容
点赞
收藏

51CTO技术栈公众号