Vayrus Home Page Суббота, 21.06.2025, 09:36
Главная | Регистрация | Вход Приветствую Вас Гость | RSS
Меню сайта

Мини-чат
Главная » 2010 » Апрель » 8 » Исследователь поделился подробностями о новом классе XSS-атак
Исследователь поделился подробностями о новом классе XSS-атак
 12:41

Исследователь Тайлер Регули из nCircle рассказал о новом типе атак с использованием межсайтового скриптинга, который позволяет эксплуатировать распространенные инструменты для администрирования сетей, подвергая риску данные пользователей.

В опубликованной вчера работе Регули назвал эту категорию атак "мета-информационным XSS" (miXSS), сообщив о том, что она работает иначе, чем другие методы XSS и что защититься от нее довольно трудно.

"Подумайте о тех административных утилитах, что используются для отправки запросов заголовков, Whois или принятия записей DNS. Все они получают метаданные, предоставляемые различными сервисами и показывают их внутри сформированного веб-сайта", - пишет автор.

При проведении miXSS входные данные, предоставляемые пользователем, являются действительными и надлежащим образом стерилизованными, что исключает работу с отраженными XSS. Кроме того, данные пользователя не сохраняются, а потому постоянные XSS также не работают. Наконец, нет никаких взаимодействий с DOM, в связи с чем проведение данного типа атак также исключается.

MiXSS обладает рядом свойств как отраженных, так и постоянных XSS, но не попадает ни в одну из этих категорий. При осуществлении сценария такой атаки действительные пользовательские данные предоставляются какому-либо сервису, который затем использует их для сбора информации и ее отображения, при этом межсайтовый скриптинг осуществляется внутри этой информации.

Например, запись DNS TXT содержит значение "<script>alert(1)</script>", а сервис служит для того, чтобы собирать записи DNS TXT с целью проверки через инфраструктуру контроля поведения отправителя (SPF). Пользователь предоставляет доменное имя, указывающее на запись TXT , а сервис выполняет данные TXT и отображает их для пользователя. Поскольку данные эти содержат JavaScript, при возвращении пользователю они обрабатываются, осуществляя таким образом межсайтовый скриптинг.

По словам Регули, атаки подобного рода вскоре могут превратиться в серьезную угрозу, поскольку для ускорения административных задач сетевые инструменты используются все чаще.

Просмотров: 421 | Добавил: vayrus | Рейтинг: 0.0/0 |
Форма входа

Календарь новостей
«  Апрель 2010  »
Пн Вт Ср Чт Пт Сб Вс
   1234
567891011
12131415161718
19202122232425
2627282930

Поиск

Друзья сайта

Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0

Copyright ArtStudio Software © 2025 Конструктор сайтовuCoz -->