Jump to content

Самостоятельный XSS

Self-XSS ( самостоятельный межсайтовый скриптинг ) — это атака, используемая для получения контроля над веб-аккаунтами жертв. При атаке Self-XSS жертва атаки запускается в своем собственном веб-браузере, тем самым раскрывая личную информацию злоумышленнику, что является своего рода уязвимостью. [1]

браузера Предупреждение об атаке Self-XSS на консоли веб-разработчика

Self-XSS также обманом заставляет пользователей копировать и вставлять вредоносный контент в консоль веб-разработчика своих браузеров . [1] Обычно злоумышленник публикует сообщение, в котором говорится, что, скопировав и запустив определенный код, пользователь сможет получить виртуальные награды или взломать веб-сайт. Фактически код позволяет злоумышленнику захватить учетную запись жертвы. [2]

История и смягчение последствий

[ редактировать ]

В прошлом имела место очень похожая атака, в ходе которой пользователей обманом заставляли вставлять вредоносный код JavaScript в адресную строку. Когда производители браузеров остановили это, запретив простой запуск JavaScript из адресной строки, [3] [4] злоумышленники начали использовать Self-XSS в его нынешнем виде. Поставщики веб-браузеров и веб-сайтов предприняли шаги для смягчения этой атаки. Firefox [5] и Гугл Хром [6] оба начали внедрять меры безопасности, чтобы предупреждать пользователей об атаках Self-XSS. Facebook и другие компании теперь отображают предупреждающее сообщение, когда пользователи открывают консоль веб-разработчика, и ссылаются на страницы, подробно объясняющие атаку. [7] [8]

Этимология

[ редактировать ]

Часть имени «self» связана с тем, что пользователь нападает на себя. Часть названия «XSS» происходит от аббревиатуры межсайтового сценария , поскольку обе атаки приводят к запуску вредоносного кода на законном сайте. Однако эти атаки не имеют ничего общего, поскольку XSS — это атака на сам веб-сайт (от которой пользователи не могут защитить себя, но могут быть исправлены оператором сайта, что делает их сайт более безопасным), тогда как Self-XSS — это социальная атака. инженерная атака на пользователя (от которой опытные пользователи могут защититься, но предотвратить оператор сайта не может). [9]

  1. ^ Jump up to: а б Шарр, Джилл (28 июля 2014 г.). «Мошенничество в Facebook заставляет пользователей взломать самих себя» . Путеводитель Тома США . Покупка . Проверено 27 сентября 2014 г.
  2. ^ «Угрозы безопасности социальных сетей» . Софос . нд . Проверено 27 сентября 2014 г.
  3. ^ «Ошибка 656433 — запретить javascript: и data: URL-адресам, введенным в адресную строку, наследовать принципал загруженной в данный момент страницы» . Багзилла . Фонд Мозилла. 11 мая 2011 года . Проверено 28 сентября 2014 г.
  4. ^ «Проблема 82181: [Linux] Удаление схемы javascript из вставки/переноса в омнибокс» . Гугл-код . 10 мая 2011 года . Проверено 28 сентября 2014 г.
  5. ^ «Ошибка 994134. Предупреждайте пользователей, впервые вставляющих код в консоль» . Багзилла . Фонд Мозилла. 9 апреля 2014 года . Проверено 28 сентября 2014 г.
  6. ^ «Проблема 345205: DevTools: борьба с самостоятельным XSS» . Гугл-код . 10 мая 2011 года . Проверено 28 сентября 2014 г.
  7. ^ «Как выглядит мошенничество с использованием Self-XSS?» . Помощь Facebook . Фейсбук . 11 июля 2014 года . Проверено 27 сентября 2014 г.
  8. ^ «Что такое Self-XSS?» . Помощь Facebook . Фейсбук . 15 июля 2014 года . Проверено 27 сентября 2014 г.
  9. ^ Илашку, Ионут (28 июля 2014 г.). «Хакеры обманывают пользователей Facebook, заставляя их использовать межсайтовый скриптинг (XSS)» . Софтпедия . SoftNews NET SRL . Проверено 27 сентября 2014 г.

Дальнейшее чтение

[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: b0a64c51a1b8f12a04c849cb12173b8f__1721126160
URL1:https://arc.ask3.ru/arc/aa/b0/8f/b0a64c51a1b8f12a04c849cb12173b8f.html
Заголовок, (Title) документа по адресу, URL1:
Self-XSS - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)