Vayrus Home Page Суббота, 21.06.2025, 10:25
Главная | Регистрация | Вход Приветствую Вас Гость | RSS
Меню сайта

Мини-чат
Главная » 2010 » Апрель » 15 » Представлены новые методы проведения клик-джекинга
Представлены новые методы проведения клик-джекинга
 13:52

Сегодня на конференции Black Hat Europe исследователь Пол Стоун из Context Information Security продемонстрирует четыре новых метода проведения клик-джекинга и покажет разработанную им браузерную утилиту, упрощающую такие атаки и позволяющую экспертам увидеть, какие кнопки, ссылки, поля и данные уязвимы для клик-джекинга.

Сценарий атаки с использованием клик-джекинга предполагает, что злоумышленник размещает на веб-странице невидимую ссылку, спрятанную под кнопкой на сайте. Когда пользователь кликает по такой ссылке или просто наводит на нее мышью, его компьютер оказывается скомпрометированным.

Впервые о подобном способе нападения два года тому назад рассказали исследователи Роберт Хансен и Джеремия Гроссман, после чего в Internet Explorer 8 и другие браузеры была встроена соответствующая защита. До сегодняшнего дня считалось, что клик-джекинг эффективен лишь в связке с межсайтовым скриптингом (XSS) и межсайтовой подделкой запросов (CSRF).

Однако, Стоун обнаружил способ красть данные из веб-форм и с почтовых аккаунтов, не задействуя CSRF, при этом его атаки эффективны даже против тех ресурсов, которые не имеют уязвимостей к XSS или CSRF.

Эксперт продемонстрирует четыре типа таких атак – инъекцию в поля ввода текста, извлечение контента, еще одну форму инъекции в поля ввода текста и атаку с помощью iFrame. Эти атаки могут использованы для нападения на компьютеры людей, редактирующих электронную почту или веб-документы, а также для поиска во внутренних сетях, кражи логинов и просмотра содержимого корзин в интернет-магазинах. Каждый из этих способов эффективно срабатывает против новейших версий IE, Firefox, Safari и Chrome.

Цель работы утилиты для клик-джекинга, которую создал Стоун, состоит в том, чтобы показать экспертам и владельцам сайтов, как легко провести атаку с помощью клик-джекинга, позволив им выработать необходимые меры защиты. Программа работает прямо в браузере и производит клик-джекинг видимым способом, делая скрытые элементы заметными. Это приложение будет доступно на сайте Context Information Security уже сегодня.

Просмотров: 542 | Добавил: vayrus | Рейтинг: 0.0/0 |
Форма входа

Календарь новостей
«  Апрель 2010  »
Пн Вт Ср Чт Пт Сб Вс
   1234
567891011
12131415161718
19202122232425
2627282930

Поиск

Друзья сайта

Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0

Copyright ArtStudio Software © 2025 Конструктор сайтовuCoz -->