Показать сообщение отдельно

re: IT-безопасность-свежие новости.
Старый 15.04.2010, 18:19   #16
Форумчанин
 
Аватар для Vaza

 
Регистрация: 21.02.2009
Сообщений: 785

Vaza вне форума

IT-безопасность-свежие новости.


Black Hat Europe 2010

Сегодня на конференции Black Hat Europe исследователь Пол Стоун из Context Information Security продемонстрирует четыре новых метода проведения клик-джекинга и покажет разработанную им браузерную утилиту, упрощающую такие атаки и позволяющую экспертам увидеть, какие кнопки, ссылки, поля и данные уязвимы для клик-джекинга.

Сценарий атаки с использованием клик-джекинга предполагает, что злоумышленник размещает на веб-странице невидимую ссылку, спрятанную под кнопкой на сайте. Когда пользователь кликает по такой ссылке или просто наводит на нее мышью, его компьютер оказывается скомпрометированным.

Впервые о подобном способе нападения два года тому назад рассказали исследователи Роберт Хансен и Джеремия Гроссман, после чего в Internet Explorer 8 и другие браузеры была встроена соответствующая защита. До сегодняшнего дня считалось, что клик-джекинг эффективен лишь в связке с межсайтовым скриптингом (XSS) и межсайтовой подделкой запросов (CSRF).

Однако, Стоун обнаружил способ красть данные из веб-форм и с почтовых аккаунтов, не задействуя CSRF, при этом его атаки эффективны даже против тех ресурсов, которые не имеют уязвимостей к XSS или CSRF.

Эксперт продемонстрирует четыре типа таких атак – инъекцию в поля ввода текста, извлечение контента, еще одну форму инъекции в поля ввода текста и атаку с помощью iFrame. Эти атаки могут использованы для нападения на компьютеры людей, редактирующих электронную почту или веб-документы, а также для поиска во внутренних сетях, кражи логинов и просмотра содержимого корзин в интернет-магазинах. Каждый из этих способов эффективно срабатывает против новейших версий IE, Firefox, Safari и Chrome.

Цель работы утилиты для клик-джекинга, которую создал Стоун, состоит в том, чтобы показать экспертам и владельцам сайтов, как легко провести атаку с помощью клик-джекинга, позволив им выработать необходимые меры защиты. Программа работает прямо в браузере и производит клик-джекинг видимым способом, делая скрытые элементы заметными. Это приложение будет доступно на сайте Context Information Security уже сегодня.
  Ответить с цитированием
 
Яндекс.Метрика