一个不太可能的攻击,但一个有重大影响的攻击
使用本地Web界面的应用程序可能易于通过恶意服务工作者攻击。beplay体育能用吗
可以利用这些服务工人利用武器的分散平台,允许攻击者接管整个网络基础架构。
幸运的是,对于开发人员来说,这种攻击首先依赖获得目标机器的访问。
Péterszilágyi,团队领先于Ethereum和第一次指出这个问题的安全研究员,表示,当用户通过安装服务员工的浏览器登录Augur应用程序时开始。
“此时,我们以前休眠的服务工作者开始执行,劫持UI和后端服务之间的所有网络获取,”Szilágyi说在博客帖子中他用jugur作为一个例子。
“这允许我们在用户和服务之间任意修改数据流,并且还允许我们将任意JavaScript代码注入UI本身。”
他补充说:“对于劫持武器但是,我们需要安装一个服务工作者localhost:8080首先。
“这需要在目标计算机和加载上至少运行一次恶意Web服务器beplay体育能用吗localhost:8080在AGUR之前至少一次在用户的Web浏览器中。“beplay体育能用吗
乐意效劳
一种服务工作者当用户脱机时充当网络代理的脚本,使设备可以继续操作,就像它连接到Internet一样。从新闻应用程序接收通知是行动中服务工作者的一个很好的例子。
服务工作人员由于其作为用户和网络之间的中介而具有固有性质而实施强有力的安全协议 - 它们只能从HTTPS站点运行,例如或安全起源,以及任何localhost.被认为是安全的。
这个意义上的剧本可以促进对Augur的分散基础架构的一个人在中间攻击,另外将任意JavaScript代码注入平台的设计本身。
Szilágyi负责任地披露了交易平台的问题,他们被认为没有将服务工作者视为漏洞。其他人同意了。
“这根本不是漏洞,”安全研究员Egot Homakov在Twitter上说。
“这就像说'我在你的电脑上被攻击了应用程序X,因为我设法你的电脑'。”
他补充说:“正在运行一个本地服务的localhost应用程序是分散的东西的最佳方式之一。电子相当差,一个XS.远离RCE。
当攻击进入您的笔记本电脑时,最后一件事就是将SW放在一些应用程序面前。他们拥有一切。“
Szilágyi通过称,潜在的脚本工作者漏洞显示某些浏览器技术如何变成开发人员的主要问题。
他说:“在非常核心,似乎在用户的浏览器中运行从localhost的浏览器可能不是原始冲突引起的最开明的决定。
“浏览器始终将localhost视为一个特殊的雪花,当到安全策略时,我可以想象未来的漏洞可能来自此可能。”
每日SWbeplay2018官网IG.已经达到了Augur的评论。
