DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phát hiện 14 cách thức tấn công XS-Leaks mới ảnh hưởng đến trình duyệt web
Các nhà nghiên cứu từ hai trường đại học tại Đức đã phát triển một công cụ giúp kiểm tra các trình duyệt web có rò rỉ thông tin từ một website qua một website khác hay không, từ đó phát hiện ra 14 cách thức tấn công hoàn toàn mới.
XS-Leaks là một loại tấn công cho phép hacker lấy được các thông tin nhạy cảm của người dùng như thông tin thẻ tín dụng, nội dung email... bằng cách bỏ qua các cơ chế bảo mật như same-origin policy.
Same-origin policy là một chính sách quy định nội dung từ một website chỉ được đọc và thay đổi bởi một thành phần khác cùng site đấy, trường hợp truy cập nằm ngoài phạm vi site sẽ bị chặn. Tuy nhiên, trong những năm qua, các nhà nghiên cứu đã xác định được nhiều phương pháp có thể được sử dụng để vượt qua cơ chế bảo mật này.
Các nhà nghiên cứu từ Ruhr-Universität Bochum và đại học khoa học ứng dụng Niederrhein gần đây đã thử nghiệm tổng cộng 56 tổ hợp trình duyệt và hệ điều hành với 34 cách thức tấn công XS-Leaks khác nhau, bao gồm các phương pháp liên quan đến mã trạng thái, chuyển hướng, sử dụng API, nội dung trang và tiêu đề HTTP.
Các nhà nghiên cứu đã tìm ra một mô hình chính thức cho XS-Leaks và cho biết mô hình này có thể được tận dụng để tìm hiểu về nguyên nhân gốc rễ của lỗ hổng. Mô hình này cũng dẫn đến việc phát hiện ra 14 kiểu tấn công mới. Đồng thời, công cụ nguồn mở XSinator được ra đời để kiểm tra trình duyệt web.
Bên cạnh đó, kết quả của quá trình thử nghiệm cũng được công bố khi tiến hành nghiên cứu trên các trình duyệt khác nhau như Chrome, Firefox, Edge, Safari, Opera, Samsung Internet và Tor Browser trên nền tảng máy tính để bàn và di động.
Một số cách thức tấn công XS-Leaks mới ảnh hưởng đến các phiên bản trình duyệt mới nhất và được báo cáo tới các nhà phát triển. Các nhà nghiên cứu cũng đã đưa ra các biện pháp giảm thiểu để ngăn chặn các kiểu tấn công này.
XS-Leaks là một loại tấn công cho phép hacker lấy được các thông tin nhạy cảm của người dùng như thông tin thẻ tín dụng, nội dung email... bằng cách bỏ qua các cơ chế bảo mật như same-origin policy.
Same-origin policy là một chính sách quy định nội dung từ một website chỉ được đọc và thay đổi bởi một thành phần khác cùng site đấy, trường hợp truy cập nằm ngoài phạm vi site sẽ bị chặn. Tuy nhiên, trong những năm qua, các nhà nghiên cứu đã xác định được nhiều phương pháp có thể được sử dụng để vượt qua cơ chế bảo mật này.
Các nhà nghiên cứu từ Ruhr-Universität Bochum và đại học khoa học ứng dụng Niederrhein gần đây đã thử nghiệm tổng cộng 56 tổ hợp trình duyệt và hệ điều hành với 34 cách thức tấn công XS-Leaks khác nhau, bao gồm các phương pháp liên quan đến mã trạng thái, chuyển hướng, sử dụng API, nội dung trang và tiêu đề HTTP.
Các nhà nghiên cứu đã tìm ra một mô hình chính thức cho XS-Leaks và cho biết mô hình này có thể được tận dụng để tìm hiểu về nguyên nhân gốc rễ của lỗ hổng. Mô hình này cũng dẫn đến việc phát hiện ra 14 kiểu tấn công mới. Đồng thời, công cụ nguồn mở XSinator được ra đời để kiểm tra trình duyệt web.
Bên cạnh đó, kết quả của quá trình thử nghiệm cũng được công bố khi tiến hành nghiên cứu trên các trình duyệt khác nhau như Chrome, Firefox, Edge, Safari, Opera, Samsung Internet và Tor Browser trên nền tảng máy tính để bàn và di động.
Một số cách thức tấn công XS-Leaks mới ảnh hưởng đến các phiên bản trình duyệt mới nhất và được báo cáo tới các nhà phát triển. Các nhà nghiên cứu cũng đã đưa ra các biện pháp giảm thiểu để ngăn chặn các kiểu tấn công này.
Theo: securityweek
Chỉnh sửa lần cuối bởi người điều hành: