“这应该是2025年的OWASP前10名'
由于安全研究人员发布了两种可用于公开用户信息的新方法的详细信息,跨站点泄漏(XS泄漏)攻击的Deanymization攻击再次出现了一次。
XS泄漏是指一系列浏览器侧通道技术,可用于推断和收集有关用户的信息,通常基于响应的网络定时。
回到2007年,斯坦福大学的研究人员团队发表了一个白皮书(PDF)展示如何通过分析网站响应HTTP请求的时间来获取有关用户信息的信息。beplay体育能用吗
两年后,研究员克里斯·埃文斯解释了如何在询问用户被登录到另一个服务(在此特殊情况下,雅虎!邮件),并介绍概念跨站点搜索(xs-search)。
浏览器侧通道
XS泄漏攻击用于收集通常无法提供的网站访问者的信息。beplay体育能用吗
任何网站beplay体育能用吗都可以在用户的浏览器上执行JavaScript,但是同性例如,防止恶意站点从例如读取用户的Gmail收件箱或在其他浏览器选项卡上执行含义的东西。
同样,站点可以从外部来源嵌入内容 - 例如iframes.与Facebook或YouTube视频有关 - 如果没有给主站点读取内容或查看用户交互的功能。
XS泄漏攻击尝试通过分析响应时间和其他因素来绕过这些安全控制,以便推断用户数据。
例如,一个站点可以嵌入Facebook图像,只有特定组的成员有权查看。这onload事件将为那些可以查看图像的人开火,在过程中获得有关访客的信息。
缓存和对象
跨站点搜索仍然是XS泄漏攻击最常见的实现。但是,可以看出XS泄漏Wiki,研究进入这个领域是更广泛的。
添加到越来越多的基于浏览器的侧通道技巧的语料库,由Eduardo Vela工作,本周本周发表了洞察力,进入他所谓的东西'HTTP缓存跨站点泄漏'。
XS泄漏攻击的这种变化涉及在强制浏览器渲染网站之前删除特定资源的HTTP缓存,最后,检查浏览器是否缓存最初删除的资源。beplay体育能用吗
这允许攻击者弄清楚网站是否加载特定资源(例如图像,脚本或样式表)。beplay体育能用吗这可能导致识别用户或披露他们将电子邮件发送给的人。
单独,波兰研究员@terjanq.写道A.中等帖子展示如何HTML 可以利用元素来泄漏用户信息。
“作为组合模拟的结果检测的事件<对象>研究人员说,渲染,我们有一个完整的全新技术,用于跨起轨内容和状态类型检测,“
“而且,有这种安全,可以说该方法自豪地加入XS泄漏的家庭。”
通常,不可能检测到跨域响应的内容类型,但是,随着研究人员所展示的,可以使用HTML5属性获得此信息typemustmatch.和对象标记。
一个观看
正在进行跨场泄漏攻击领域的研究。虽然这些侧通道技术的真正潜力可能尚未实现,但XS泄漏牢固地掌握在两者的雷达上欧平社(PDF)和浏览器制造商,如谷歌。
在这两个最新方法的出版物之后,Google Web安全研究员Krzysztof Kotowicz表示,XS-Search可能很快就标记为beplay体育能用吗OWASP前10名。
“XS-Search是Web平台安全在修复更受beplay体育能用吗欢迎的问题之后就会挣扎XS.,“kotowicz鸣叫本星期。
“当我们实际知道该怎么办呢,这应该是在OWASP前10个[in] 2025中。我不认为所有人都意识到这个问题有多严重。“
