Jump to content

Безопасность браузера

(Перенаправлено из браузерного эксплойта )

Безопасность браузера — это применение интернет-безопасности к веб-браузерам с целью защиты сетевых данных и компьютерных систем от нарушений конфиденциальности или вредоносного ПО . Эксплойты безопасности браузеров часто используют JavaScript , иногда с межсайтовым скриптингом (XSS). [1] со вторичной полезной нагрузкой с использованием Adobe Flash . [2] Эксплойты безопасности также могут использовать уязвимости (дыры в безопасности), которые обычно используются во всех браузерах (включая Google Chrome , [3] Microsoft Internet Explorer , [4] Мозилла Фаерфокс , [5] Опера , [6] и Сафари [7] ).

Безопасность

[ редактировать ]

Веб-браузеры могут быть взломаны одним или несколькими из следующих способов:

  • Операционная система взломана, и вредоносное ПО читает/изменяет пространство памяти браузера в привилегированном режиме. [8]
  • В операционной системе есть вредоносное ПО, работающее в фоновом режиме и считывающее/изменяющее пространство памяти браузера в привилегированном режиме.
  • Основной исполняемый файл браузера может быть взломан
  • Компоненты браузера могут быть взломаны
  • Плагины браузера можно взломать
  • Сетевые соединения браузера могут быть перехвачены за пределами компьютера. [9]

Браузер может не знать о каких-либо нарушениях, указанных выше, и может показывать пользователю, что установлено безопасное соединение.

Всякий раз, когда браузер взаимодействует с веб-сайтом, веб-сайт в рамках этого взаимодействия собирает некоторую информацию о браузере (по крайней мере, для обработки форматирования доставляемой страницы). [10] Если вредоносный код был вставлен в содержимое веб-сайта или, в худшем случае, если этот веб-сайт был специально разработан для размещения вредоносного кода, то уязвимости, характерные для конкретного браузера, могут позволить этому вредоносному коду запускать процессы в приложении браузера. непреднамеренным образом (и помните, что одним из фрагментов информации, которую веб-сайт собирает в ходе взаимодействия с браузером, является личность браузера, что позволяет использовать определенные уязвимости). [11] Как только злоумышленник сможет запускать процессы на компьютере посетителя, использование известных уязвимостей безопасности может позволить злоумышленнику получить привилегированный доступ (если браузер еще не запущен с привилегированным доступом) к «зараженной» системе, чтобы выполнить еще большее разнообразие вредоносных процессов и действий на компьютере или даже во всей сети жертвы. [12]

Нарушения безопасности веб-браузера обычно совершаются с целью обхода средств защиты для отображения всплывающей рекламы. [13] сбор личной информации (PII) для интернет-маркетинга или кражи личных данных , отслеживания веб-сайтов или веб-аналитики пользователя против его воли с использованием таких инструментов, как веб-ошибки , кликджекинг , лайкджекинг (где ) , » Facebook кнопка «Нравится нацелена [14] [15] [16] [17] Файлы cookie HTTP , файлы cookie-зомби или файлы cookie Flash (локальные общие объекты или LSO); [2] установка рекламного ПО , вирусов , шпионских программ, таких как троянские кони пользователей (для получения доступа к персональным компьютерам путем взлома ) или других вредоносных программ , включая онлайн-банкинга кражу с использованием атак «человек в браузере» .

Углубленное изучение уязвимостей в веб-браузере Chromium показывает, что неверная проверка ввода (CWE-20) и неправильный контроль доступа (CWE-284) являются наиболее распространенными основными причинами уязвимостей безопасности. [18] Кроме того, среди уязвимостей, рассмотренных на момент проведения данного исследования, 106 уязвимостей возникли в Chromium из-за повторного использования или импорта уязвимых версий сторонних библиотек.

Уязвимости в самом программном обеспечении веб-браузера можно свести к минимуму, регулярно обновляя программное обеспечение браузера. [19] но этого будет недостаточно, если базовая операционная система скомпрометирована, например, руткитом. [20] Некоторые подкомпоненты браузеров, такие как сценарии, надстройки и файлы cookie. [21] [22] [23] особенно уязвимы (« проблема запутанного депутата ») и их тоже необходимо решать.

Следуя принципу глубокоэшелонированной защиты , полностью исправленного и правильно настроенного браузера может быть недостаточно для предотвращения возникновения проблем безопасности, связанных с браузером. Например, руткит может перехватывать нажатия клавиш , когда кто-то заходит на банковский веб-сайт, или осуществлять атаку «человек посередине» , изменяя сетевой трафик, входящий и исходящий от веб-браузера. Перехват DNS или подмена DNS могут использоваться для возврата ложных срабатываний для неправильно введенных имен веб-сайтов или для искажения результатов поиска в популярных поисковых системах. Вредоносное ПО, такое как RSPlug, просто изменяет конфигурацию системы, чтобы указать на мошеннические DNS-серверы.

Браузеры могут использовать более безопасные методы сетевого взаимодействия , чтобы предотвратить некоторые из этих атак:

Защита периметра, обычно с помощью брандмауэров и использования фильтрующих прокси -серверов , которые блокируют вредоносные веб-сайты и выполняют антивирусное сканирование любых загрузок файлов, обычно реализуется в качестве передовой практики в крупных организациях для блокировки вредоносного сетевого трафика до того, как он достигнет браузера.

Тема безопасности браузеров разрослась до такой степени, что породила создание целых организаций, таких как The Browser Exploitation Framework Project, [24] создание платформ для сбора инструментов для взлома безопасности браузеров якобы для проверки браузеров и сетевых систем на наличие уязвимостей.

Плагины и расширения

[ редактировать ]

браузера сами по себе не являются частью браузера, Хотя плагины и расширения они расширяют поверхность атаки , раскрывая уязвимости в Adobe Flash Player , Adobe (Acrobat) Reader , плагине Java и ActiveX , которые обычно используются. Исследователи [25] тщательно изучили архитектуру безопасности различных веб-браузеров, в частности тех, которые полагаются на конструкцию plug-and-play. Это исследование выявило 16 распространенных типов уязвимостей и 19 потенциальных способов их устранения. Вредоносное ПО также может быть реализовано как расширение браузера, например, вспомогательный объект браузера в случае Internet Explorer. [26] В различных других эксплойтах веб-сайты выглядели аутентичными и включали мошеннические всплывающие окна «обновить Adobe Flash», созданные в качестве визуальных подсказок для загрузки вредоносных программ вместо них. [27] Некоторые браузеры, такие как Google Chrome и Mozilla Firefox, могут блокировать или предупреждать пользователей о небезопасных плагинах.

Исследование, проведенное в августе 2009 года Сетью исследований социальных наук, показало, что 50% веб-сайтов, использующих Flash, также используют файлы cookie Flash, однако политики конфиденциальности редко раскрывают их, а пользовательские средства контроля предпочтений конфиденциальности отсутствовали. [28] и истории большинства браузеров Функции удаления кэша не влияют на запись локальных общих объектов Flash Player в собственный кэш, а сообщество пользователей гораздо меньше осведомлено о существовании и функциях файлов cookie Flash, чем файлов cookie HTTP. [29] Таким образом, пользователи, удалив файлы cookie HTTP и очистив файлы и кэши истории браузера, могут полагать, что они удалили все данные отслеживания со своих компьютеров, хотя на самом деле история посещений Flash остается. Помимо удаления вручную, надстройка BetterPrivacy для Firefox может удалять файлы cookie Flash. [2] Adblock Plus можно использовать для фильтрации конкретных угроз. [13] и Flashblock можно использовать, чтобы предоставить возможность разрешить контент на сайтах, которым в противном случае доверяют. [30]

Чарли Миллер рекомендовал «не устанавливать Flash» [31] на конференции по компьютерной безопасности CanSecWest. Некоторые другие эксперты по безопасности также рекомендуют либо не устанавливать Adobe Flash Player, либо заблокировать его. [32]

Модель безопасности паролей

[ редактировать ]

Содержимое веб-страницы является произвольным и контролируется лицом, владеющим доменом, имя которого отображается в адресной строке. Если HTTPS используется , то используется шифрование, чтобы защитить злоумышленников, имеющих доступ к сети, от изменения содержимого страницы в пути. Когда на веб-странице отображается поле пароля, пользователь должен посмотреть на адресную строку, чтобы определить, является ли доменное имя в адресной строке правильным местом для отправки пароля. [33] Например, в системе единого входа Google (используемой, например, на youtube.com) пользователь всегда должен проверять, что в адресной строке написано «https://accounts.google.com», прежде чем вводить свой пароль.

Нескомпрометированный браузер гарантирует корректность адресной строки. Эта гарантия является одной из причин, почему браузеры обычно отображают предупреждение при входе в полноэкранный режим поверх того места, где обычно находится адресная строка, чтобы полноэкранный веб-сайт не мог создать поддельный пользовательский интерфейс браузера с поддельной адресной строкой. [34]

Усиление защиты браузера

[ редактировать ]

Просмотр Интернета с использованием учетной записи пользователя с наименьшими привилегиями (т. е. без прав администратора) ограничивает возможность взлома безопасности в веб-браузере от компрометации всей операционной системы. [35]

Internet Explorer 4 и более поздние версии позволяют вносить в черный список [36] [37] [38] и внесение в белый список [39] [40] элементов управления ActiveX , надстроек и расширений браузера различными способами.

В Internet Explorer 7 добавлен «защищенный режим» — технология, которая повышает безопасность браузера за счет применения функции «песочницы» безопасности Windows Vista, называемой «Обязательный контроль целостности» . [41] Google Chrome предоставляет песочницу для ограничения доступа к веб-страницам операционной системы. [42]

О сайтах с подозрением на вредоносное ПО сообщили в Google. [43] и подтверждены Google, в некоторых браузерах помечаются как содержащие вредоносное ПО. [44]

Существуют сторонние расширения и плагины, позволяющие усилить защиту даже новейших браузеров. [45] и некоторые для старых браузеров и операционных систем. Программное обеспечение на основе белого списка, такое как NoScript, может блокировать JavaScript и Adobe Flash, которые используются для большинства атак на конфиденциальность, позволяя пользователям выбирать только те сайты, которые, по их мнению, безопасны. AdBlock Plus также использует подписку на правила фильтрации рекламы в белом списке , хотя как само программное обеспечение, так и Разработчики списков фильтрации вызвали споры из-за того, что по умолчанию некоторым сайтам разрешено проходить через предустановленные фильтры. [46] US -CERT рекомендует блокировать Flash с помощью NoScript . [47]

Современные веб-браузеры подвергаются обширному фаззингу для выявления уязвимостей. Код Chromium Google Chrome постоянно анализируется командой безопасности Chrome с помощью 15 000 ядер. [48] Для Microsoft Edge и Internet Explorer во время разработки продукта Microsoft провела нечеткое тестирование с использованием 670 машино-лет, создав более 400 миллиардов манипуляций с DOM из 1 миллиарда HTML-файлов. [49] [48]

См. также

[ редактировать ]
  1. ^ Маоне, Джорджио . «NoScript::Дополнения для Firefox» . Дополнения Мозиллы . Фонд Мозилла .
  2. ^ Jump up to: а б с «BetterPrivacy :: Дополнения для Firefox» . Фонд Мозилла . [ постоянная мертвая ссылка ]
  3. ^ Мессмер, Эллен и NetworkWorld. «Google Chrome возглавил список «грязной дюжины» уязвимых приложений» [ постоянная мертвая ссылка ] . Проверено 19 ноября 2010 г.
  4. ^ Брэдли, Тони. «Пришло время наконец отказаться от Internet Explorer 6». Архивировано 15 октября 2012 года на Wayback Machine . Проверено 19 ноября 2010 г.
  5. ^ Кейзер, Грег. Уязвимость Firefox 3.5 подтверждена. Архивировано 28 октября 2010 г. на Wayback Machine . Проверено 19 ноября 2010 г.
  6. ^ Скиннер, Кэрри-Энн. Opera затыкает «серьёзную» дыру в браузере. Архивировано 20 мая 2009 года на Wayback Machine . Проверено 19 ноября 2010 г.
  7. ^ «Браузер» . Машаемый . Архивировано из оригинала 2 сентября 2011 года . Проверено 2 сентября 2011 г.
  8. ^ Смит, Дэйв (21 марта 2013 г.). «Троян Yontoo: новое вредоносное ПО для Mac OS X заражает браузеры Google Chrome, Firefox и Safari через рекламное ПО» . IBT Media Inc. Архивировано из оригинала 24 марта 2013 года . Проверено 21 марта 2013 г.
  9. ^ Гудин, Дэн. «Нарушение MySQL.com делает посетителей уязвимыми для вредоносного ПО» . Регистр . Архивировано из оригинала 28 сентября 2011 года . Проверено 26 сентября 2011 г.
  10. ^ Клинтон Вонг. «HTTP-транзакции» . О'Рейли. Архивировано из оригинала 13 июня 2013 года.
  11. ^ «9 способов узнать, что ваш компьютер заражен вредоносным ПО» . Архивировано из оригинала 11 ноября 2013 года.
  12. ^ «Информационные документы Symantec Security Response» . Архивировано из оригинала 9 июня 2013 года.
  13. ^ Jump up to: а б Палант, Владимир . «Adblock Plus::Дополнения для Firefox» . Дополнения Мозиллы . Фонд Мозилла .
  14. ^ «Конфиденциальность Facebook проверялась из-за приглашений поставить лайк» . Новости ЦБК . 23 сентября 2010 г. Архивировано из оригинала 26 июня 2012 г. Проверено 24 августа 2011 г.
  15. ^ Альбанесиус, Хлоя (19 августа 2011 г.). «Немецким агентствам запрещено использовать кнопку «Мне нравится» в Facebook» . Журнал ПК . Архивировано из оригинала 29 марта 2012 года . Проверено 24 августа 2011 г.
  16. ^ МакКаллах, Деклан (2 июня 2010 г.). «Кнопка «Нравится» в Facebook привлекает внимание к вопросам конфиденциальности» . Новости CNET . Архивировано из оригинала 5 декабря 2011 года . Проверено 19 декабря 2011 г.
  17. ^ Розендал, Арнольд (30 ноября 2010 г.). «Facebook отслеживает и отслеживает всех: вот так!». ССНР   1717563 .
  18. ^ Сантос, JCS; Перума, А.; Мирахорли, М.; Галстери, М.; Видаль, СП; Сейфия, А. (апрель 2017 г.). «Понимание уязвимостей программного обеспечения, связанных с тактикой архитектурной безопасности: эмпирическое исследование Chromium, PHP и Thunderbird» . Международная конференция IEEE по архитектуре программного обеспечения (ICSA) , 2017 г. стр. 69–78. дои : 10.1109/ICSA.2017.39 . ISBN  978-1-5090-5729-0 . S2CID   29186731 .
  19. ^ Штат Вермонт. «Атаки на веб-браузер» . Архивировано из оригинала 13 февраля 2012 года . Проверено 11 апреля 2012 г.
  20. ^ «Обзор руткита Windows» (PDF) . Симантек. Архивировано из оригинала (PDF) 16 мая 2013 года . Проверено 20 апреля 2013 г.
  21. ^ «Атака с использованием межсайтовых сценариев» . Архивировано из оригинала 15 мая 2013 года . Проверено 20 мая 2013 г.
  22. ^ Ленни Зельцер. «Защита от атак на веб-браузер и его дополнения» . Архивировано из оригинала 7 мая 2013 года . Проверено 20 мая 2013 г.
  23. ^ Дэн Гудин (14 марта 2013 г.). «Две новые атаки на куки-файлы аутентификации расшифровки SSL» . Архивировано из оригинала 15 мая 2013 года . Проверено 20 мая 2013 г.
  24. ^ «beefproject.com» . Архивировано из оригинала 11 августа 2011 года.
  25. ^ Сантос, Джоанна К.С.; Сейфия, Адриана; Коррелло, Тейлор; Гаденканахалли, Смрути; Мирахорли, Мехди (2019). «Ахиллесова пята программных архитектур plug-and-play: обоснованный теоретический подход» . Материалы 27-й совместной встречи ACM по Европейской конференции по разработке программного обеспечения и симпозиума по основам программной инженерии в 2019 году . ESEC/FSE 2019. Нью-Йорк, штат Нью-Йорк, США: ACM. стр. 671–682. дои : 10.1145/3338906.3338969 . ISBN  978-1-4503-5572-8 . S2CID   199501995 .
  26. ^ «Как создать правило, которое будет блокировать или регистрировать вспомогательные объекты браузера в Symantec Endpoint Protection» . Symantec.com. Архивировано из оригинала 14 мая 2013 года . Проверено 12 апреля 2012 г.
  27. ^ Аггарвал, Варун (30 апреля 2021 г.). «Срочное: фейковые сайты 50 индийских новостных порталов, заманивающие доверчивых читателей» . Директор по информационным технологиям Economic Times. Архивировано из оригинала 26 февраля 2023 года . Проверено 26 февраля 2023 г.
  28. ^ Солтани, Ашкан; Кэнти, Шеннон; Мэйо, Квентин; Томас, Лорен; Хуфнэгл, Крис Джей (10 августа 2009 г.). «Солтани, Ашкан, Кэнти, Шеннон, Мэйо, Квентин, Томас, Лорен и Хуфнэгл, Крис Джей: Flash-файлы cookie и конфиденциальность». ССНН   1446862 .
  29. ^ «Локальные общие объекты — «флэш-файлы cookie» » . Электронный информационный центр конфиденциальности. 21 июля 2005 г. Архивировано из оригинала 16 апреля 2010 г. Проверено 8 марта 2010 г.
  30. ^ Чи, Филип . «Flashblock::Дополнения для Firefox» . Дополнения Мозиллы . Фонд Мозилла . Архивировано из оригинала 15 апреля 2013 года.
  31. ^ «Pwn2Own 2010: интервью с Чарли Миллером» . 1 марта 2010 года. Архивировано из оригинала 24 апреля 2011 года . Проверено 27 марта 2010 г.
  32. ^ «Эксперт говорит, что политика Adobe Flash рискованна» . 12 ноября 2009 года. Архивировано из оригинала 26 апреля 2011 года . Проверено 27 марта 2010 г.
  33. ^ Джон С. Митчелл . «Модель безопасности браузера» (PDF) . Архивировано (PDF) из оригинала 20 июня 2015 года.
  34. ^ «Использование полноэкранного API HTML5 для фишинговых атак » Feross.org» . сайт feross.org . Архивировано из оригинала 25 декабря 2017 года . Проверено 7 мая 2018 г.
  35. ^ «Использование учетной записи пользователя с наименьшими привилегиями» . Майкрософт . 29 июня 2009 года. Архивировано из оригинала 6 марта 2013 года . Проверено 20 апреля 2013 г.
  36. ^ «Как остановить запуск элемента ActiveX в Internet Explorer» . Майкрософт . Архивировано из оригинала 2 декабря 2014 года . Проверено 22 ноября 2014 г.
  37. ^ «Записи реестра зон безопасности Internet Explorer для опытных пользователей» . Майкрософт . Архивировано из оригинала 2 декабря 2014 года . Проверено 22 ноября 2014 г.
  38. ^ «Блокировка устаревших элементов ActiveX» . Майкрософт . Архивировано из оригинала 29 ноября 2014 года . Проверено 22 ноября 2014 г.
  39. ^ «Управление надстройками Internet Explorer и обнаружение сбоев» . Майкрософт . 8 октября 2009 г. Архивировано из оригинала 29 ноября 2014 г. . Проверено 22 ноября 2014 г.
  40. ^ «Как управлять надстройками Internet Explorer в пакете обновления 2 для Windows XP» . Майкрософт . Архивировано из оригинала 2 декабря 2014 года . Проверено 22 ноября 2014 г.
  41. ^ Мэтью Коновер. «Анализ модели безопасности Windows Vista» (PDF) . Корпорация Симантек . Архивировано из оригинала (PDF) 16 мая 2008 года . Проверено 8 октября 2007 г.
  42. ^ «Безопасность браузера: уроки Google Chrome» . Август 2009 г. Архивировано из оригинала 11 ноября 2013 г.
  43. ^ «Сообщить о вредоносном программном обеспечении (URL) в Google» . Архивировано из оригинала 12 сентября 2014 года.
  44. ^ «Безопасный просмотр Google» . Архивировано из оригинала 14 сентября 2014 года.
  45. ^ «5 способов защитить ваш веб-браузер» . Зональная сигнализация . 8 мая 2014 г. Архивировано из оригинала 7 сентября 2014 г.
  46. ^ «Adblock Plus скоро будет блокировать меньше рекламы — SiliconFilter» . Siliconfilter.com. 12 декабря 2011 года. Архивировано из оригинала 30 января 2013 года . Проверено 20 апреля 2013 г.
  47. ^ «Защита вашего веб-браузера» . Архивировано из оригинала 26 марта 2010 года . Проверено 27 марта 2010 г.
  48. ^ Jump up to: а б Сестерхенн, Эрик; Вевер, Беренд-Ян; Орру, Микеле; Вервье, Маркус (19 сентября 2017 г.). «Информационный документ по безопасности браузера» (PDF) . X41D SEC GmbH. Архивировано (PDF) из оригинала 1 февраля 2022 года . Проверено 31 августа 2018 г.
  49. ^ «Усовершенствования безопасности для Microsoft Edge (Microsoft Edge для ИТ-специалистов)» . Майкрософт . 15 октября 2017 года. Архивировано из оригинала 1 сентября 2018 года . Проверено 31 августа 2018 г.

Дальнейшее чтение

[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 21d23172258b6cd526b86ffa368e332c__1722258300
URL1:https://arc.ask3.ru/arc/aa/21/2c/21d23172258b6cd526b86ffa368e332c.html
Заголовок, (Title) документа по адресу, URL1:
Browser security - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)