SOS :: Security Operation Space
19 сентября, среда, 00:00
|
Hot News:

CSS код может использоваться для кражи данных пользователей

07 февраля 2018 г., среда, 13:08

Исследователи описали ряд техник, позволяющих отследить пользователей на web-сайтах и украсть данные с интернет-страниц.

За прошедший месяц исследователи в области кибербезопасности продемонстрировали ряд техник, предполагающих использование CSS кода для различных целей, например, отслеживания пользователей на web-сайтах, извлечения и кражи данных с web-страниц, сбора информации, введенной в поля форм (включая пароли) и деанонимизации пользователей Tor.

В частности, немецкий исследователь Ян Бемер (Jan Böhmer) разработал технику, позволяющую следить за рядом действий посетителей сайтов без использования JavaScript. Для реализации метода требуется только CSS. Он позволяет узнать базовую информацию о посетителе, в том числе разрешение экрана устройства, используемый браузер, ссылки, по которым был осуществлен переход, элементы, на которые наводится мышь, системные шрифты.

На минувших выходных независимый исследователь Дилан Эйри (Dylan Ayrey) опубликовал работу, в которой описал , как злоумышленник может использовать CSS код для хищения CSRF-токенов для аутентификации. Метод работает только на сайтах и в приложениях, которые хранят CSRF-токены в атрибутах различных HTML-элементов, поэтому владельцы сайтов/приложений могут легко предотвратить атаку, используя более надежные методы аутентификации. Техника, предложенная Эйри, основана на внедрении CSS-кода и использовании селекторов атрибутов для определения CSRF-токенов.

Исследователь Майк Гуалтьери (Mike Gualtieri) пошел еще дальше. Он разработал похожую технику, получившую название CSS Exfil, которая позволяет похитить важные пользовательские данные (в том числе пароли), указанные в полях форм. Как и метод Эйри, его атака базируется на внедрении CSS-кода и использовании CSS-селекторов. По словам Гуалтьери, с помощью CSS-кода атакующий может получить полный контроль над web-страницей.

В качестве меры защиты от атаки CSS Exfil Гуалтьери предлагает владельцам сайтов настроить механизм Content Security Policy (CSP, политика защиты контента), который предотвратит загрузку CSS-кода из внешних источников.

CSS (Cascading Style Sheets, каскадные таблицы стилей) — технология описания внешнего вида документа, оформленного языком разметки. Преимущественно используется как средство оформления web-страниц в формате HTML и XHTML, но может применяться с любыми видами документов в формате XML, включая SVG и XUL.

CSS-селектор — часть CSS-правила, которая сообщает браузеру, к какому элементу (или элементам) web-страницы будет применен стиль.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
06:30
06:27
06:18
05:47
16:29
14:55
14:07
12:43
12:42
11:32
10:06
08:51
06:54
06:35
05:52
05:50
05:28
04:48


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.100
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.