Самостоятельный XSS
Self-XSS ( самостоятельный межсайтовый скриптинг ) — это атака, используемая для получения контроля над веб-аккаунтами жертв. При атаке Self-XSS жертва атаки запускается в своем собственном веб-браузере, тем самым раскрывая личную информацию злоумышленнику, что является своего рода уязвимостью. [1]
Обзор
[ редактировать ]
Self-XSS также обманом заставляет пользователей копировать и вставлять вредоносный контент в консоль веб-разработчика своих браузеров . [1] Обычно злоумышленник публикует сообщение, в котором говорится, что, скопировав и запустив определенный код, пользователь сможет получить виртуальные награды или взломать веб-сайт. Фактически код позволяет злоумышленнику захватить учетную запись жертвы. [2]
История и смягчение последствий
[ редактировать ]В прошлом имела место очень похожая атака, в ходе которой пользователей обманом заставляли вставлять вредоносный код JavaScript в адресную строку. Когда производители браузеров остановили это, запретив простой запуск JavaScript из адресной строки, [3] [4] злоумышленники начали использовать Self-XSS в его нынешнем виде. Поставщики веб-браузеров и веб-сайтов предприняли шаги для смягчения этой атаки. Firefox [5] и Гугл Хром [6] оба начали внедрять меры безопасности, чтобы предупреждать пользователей об атаках Self-XSS. Facebook и другие компании теперь отображают предупреждающее сообщение, когда пользователи открывают консоль веб-разработчика, и ссылаются на страницы, подробно объясняющие атаку. [7] [8]
Этимология
[ редактировать ]Часть имени «self» связана с тем, что пользователь нападает на себя. Часть названия «XSS» происходит от аббревиатуры межсайтового сценария , поскольку обе атаки приводят к запуску вредоносного кода на законном сайте. Однако эти атаки не имеют ничего общего, поскольку XSS — это атака на сам веб-сайт (от которой пользователи не могут защитить себя, но могут быть исправлены оператором сайта, что делает их сайт более безопасным), тогда как Self-XSS — это социальная атака. инженерная атака на пользователя (от которой опытные пользователи могут защититься, но предотвратить оператор сайта не может). [9]
Ссылки
[ редактировать ]- ^ Jump up to: а б Шарр, Джилл (28 июля 2014 г.). «Мошенничество в Facebook заставляет пользователей взломать самих себя» . Путеводитель Тома США . Покупка . Проверено 27 сентября 2014 г.
- ^ «Угрозы безопасности социальных сетей» . Софос . нд . Проверено 27 сентября 2014 г.
- ^ «Ошибка 656433 — запретить javascript: и data: URL-адресам, введенным в адресную строку, наследовать принципал загруженной в данный момент страницы» . Багзилла . Фонд Мозилла. 11 мая 2011 года . Проверено 28 сентября 2014 г.
- ^ «Проблема 82181: [Linux] Удаление схемы javascript из вставки/переноса в омнибокс» . Гугл-код . 10 мая 2011 года . Проверено 28 сентября 2014 г.
- ^ «Ошибка 994134. Предупреждайте пользователей, впервые вставляющих код в консоль» . Багзилла . Фонд Мозилла. 9 апреля 2014 года . Проверено 28 сентября 2014 г.
- ^ «Проблема 345205: DevTools: борьба с самостоятельным XSS» . Гугл-код . 10 мая 2011 года . Проверено 28 сентября 2014 г.
- ^ «Как выглядит мошенничество с использованием Self-XSS?» . Помощь Facebook . Фейсбук . 11 июля 2014 года . Проверено 27 сентября 2014 г.
- ^ «Что такое Self-XSS?» . Помощь Facebook . Фейсбук . 15 июля 2014 года . Проверено 27 сентября 2014 г.
- ^ Илашку, Ионут (28 июля 2014 г.). «Хакеры обманывают пользователей Facebook, заставляя их использовать межсайтовый скриптинг (XSS)» . Софтпедия . SoftNews NET SRL . Проверено 27 сентября 2014 г.
Дальнейшее чтение
[ редактировать ]- Маккейни, Кевин (16 ноября 2011 г.). «4 способа избежать спам-атаки Facebook» . ГЦН . 1105 Медиа-группа государственного сектора . Проверено 28 сентября 2014 г.