Межприкладные сценарии

Эта статья нуждается в дополнительных цитатах для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. Найдите источники:   «Кросс-прикладные сценарии» — новости   · газеты   · книги   · ученые   · JSTOR ( август 2014 г. ) ( Узнайте, как и когда удалить это сообщение )

Межприкладные сценарии ( CAS ) — это уязвимость, затрагивающая настольные приложения, которые не проверяют вводимые данные исчерпывающим образом. CAS позволяет злоумышленнику вставлять данные, которые изменяют поведение определенного настольного приложения. Это позволяет извлекать данные изнутри систем пользователей. Злоумышленники могут получить все привилегии атакуемого приложения при использовании уязвимостей CAS; атака в некоторой степени не зависит от базовой операционной системы и аппаратной архитектуры.

Первоначально обнаруженный Эмануэле Джентили и представленный двумя другими исследователями (Алессандро Скошиа и Эмануэле Акри), принимавшими участие в изучении этого метода и его последствий, он был впервые представлен во время Саммита по безопасности 2010 года в Милане . ^{[1] [2] [3]}

Атака форматной строки по своей концепции очень похожа на эту атаку, и CAS можно рассматривать как обобщение этого метода атаки. Некоторые аспекты этой техники ранее были продемонстрированы в технике кликджекинга .

Подобно веб-интерфейсам, современные платформы реализации графических приложений (в частности, GTK+ и Qt ) позволяют использовать теги внутри собственных виджетов . Если злоумышленник получает возможность внедрять теги, он получает возможность манипулировать внешним видом и поведением приложения. Точно такое же явление наблюдалось при использовании межсайтового скриптинга (XSS) на веб-страницах, поэтому такой тип поведения получил название межприкладного скриптинга (CAS).

Обычно настольные приложения получают значительный объем входных данных и поддерживают большое количество функций, определенно больше, чем любой веб-интерфейс. Из-за этого разработчику сложнее проверить, правильно ли фильтруются все входные данные, которые программа может получить из ненадежных источников.

Если межприложенные сценарии являются эквивалентом XSS в веб-приложениях, то подделка межприложений (CARF) является эквивалентом подделки межсайтовых запросов (CSRF) в настольных приложениях.

В CARF понятия «ссылка» и «протокол», унаследованные от Интернета, были расширены, поскольку они включают компоненты графической среды и, в некоторых случаях, операционной системы.

Использование уязвимостей, подпадающих под CSRF, требует взаимодействия со стороны пользователя. Это требование не является особым ограничением, поскольку пользователя можно легко заставить выполнить определенные действия, если графический интерфейс изменен правильно. Многие вводящие в заблуждение изменения во внешнем виде приложений можно получить с помощью CAS: нового вида « фишинга », опасность которого усиливается из-за отсутствия инструментов для обнаружения такого рода атак за пределами веб-сайтов или электронной почты.

В отличие от методов XSS, которые могут манипулировать и впоследствии выполнять команды в браузере пользователя, с помощью CAS можно напрямую общаться с операционной системой, а не только с ее графическим интерфейсом.