Ctrl+C+Ctrl+V = XSS
Web浏览器,文本编辑器和网站使用的副本和粘贴功能中的疑问可以滥用以执行beplay体育能用吗跨站脚本安全研究人员发现(XSS)攻击和数据渗透。
用户将自己的内容从恶意网站复制到剪贴板,然后将数据粘贴到一个Wysiwyg合法网站的编辑。beplay体育能用吗
建立在最近发表的研究的基础上,重点是Tinymce文本编辑器,MichałBentkowski出版了深潜昨天(6月15日)进入他的副本和粘贴漏洞。
研究人员也发现了一个ckeditor中的XSS缺陷今年,在Web浏览器中发掘了四个安全问题和Rich Text编辑器中的五个漏洞后,赢得了Bug Bounties,总计超过30,000美元。beplay体育能用吗
建立在“复制和害虫”上
波兰网络安全装备Securitum的首席安全研究员Bentkowski说,他的工作建立在基础上2015年研究来自Mario Heiderich,他展示了如何从Libreoffice或Microsoft Word等非浏览器应用程序中复制数据并将其粘贴到浏览器中可能导致XSS。
Bentkowski除了表明数据剥落是另一个潜在的结果外,还证明JavaScript Wysiwyg编辑也会引入安全缺陷浏览器本身是从消毒旁路缺陷接种的。
他解释说:“ JavaScript代码可以忽略浏览器的消毒过程并手动处理它。”
“每个受欢迎的Wysiwyg编辑器都会单独处理糊状事件”,以删除危险元素,正确处理受欢迎的编辑者的内容,并将粘贴元素归一化。”
Bentkowski还证明了“在两个浏览器选项卡之间复制和粘贴比从外部应用程序中复制并在浏览器中粘贴更可能被利用。”
他的研究重点是格式化文本,“因为它等同于浏览器世界中的HTML标记”。
消毒剂绕过大富翁
Bentkowski,他创建了一个复制和粘贴操场’为了让虫子猎人探索“巨大的攻击表面”,发现铬,Firefox,Safari和Edge浏览器中至少有一个消毒剂绕过。
例如,现在已经是一个通用XSS固定在铬79中可以在Gmail,Wikipedia和Blogger上触发,作为一个概念证明他向Google提供了演示。
第二个Chromium Bug从页面上泄漏了CSS数据,包括会话令牌或用户的个人信息。其他视频证明Gmail Netted Bentkowski中的漏洞利用是巨额$ 10,000的奖励。
同时,两个Firefox缺陷以剪贴板的样式表的粘贴为中心。
在研究中更深入地概述了他出版2月,研究人员证明您可以通过单个注射点通过CSS泄漏数据,而他则展示了如何突变XS到Firefox受影响的Aloha编辑以及其他竞争对手工具。
视觉编辑零日
Bentkowski告诉每日swbeplay2018官网igFroala Wysiwyg HTML编辑器中的一个缺陷仍然是一个零日脆弱性。
他在帖子中说:“弗罗拉拉(Froala)在使用正则表达式和弦处理处理进行大规模的HTML处理中有罪。”这被认为是“将HTML作为字符串处理几乎总是一个坏主意的另一个很好的例子。”
Bentkowski创建了一个闭合操场对于Google关闭库消毒剂中影响Gmail用户的缺陷,但仅与浏览器错误一起利用。
受到推崇的Google电子邮件域,由SMTP在G Suite中欺骗
针对Google Docs成功征收的漏洞利用使用了非HTML内容类型,可以通过Dom Clobbering以及XSS。
另一个未命名的应用程序也容易受到缺陷的攻击,这反映了一个事实:“某些编辑器让浏览器进行初始消毒,然后对预启发式内容进行一些操作。”
Tinymce缺陷,可以说是最受欢迎的Wysiwyg HTML编辑器,促使开发人员发布两个安全咨询敦促应用程序开发人员升级。
同时,Ckeditor的开发人员修复了Ckeditor 4中发现的漏洞Bentkowski。
“非常模糊”
Bentkowski在他的研究帖子中说:“我已经证明,剪贴板的粘贴内容似乎是被低估的攻击向量。”
他将“剪贴板API的规范”描述为“对粘贴的内容进行消毒的内容”,敦促浏览器供应商制定所有浏览器中“安全且一致”的特定消毒规则。
他说每日swbeplay2018官网ig:“我希望在未来几个月内会有更多攻击。我希望我的研究能够提高意识,并使更多的人在Wysiwyg编辑中报告错误,因为我的印象是,他们不受整体上的攻击受到很好的保护。”
