Газета InfoSecurity

Последний номер

Архив номеров

На главную 
 


 
Число
подписчиков

 Рассылка 'Информационная Безопасность: Проблемы, Методы, Решения'
 Сетевая газета InfoSecurity.ru 07 апреля 2010 г. 

Исследователь поделился подробностями о новом классе XSS-атак

  Исследователь Тайлер Регули из nCircle рассказал о новом типе атак с использованием межсайтового скриптинга, который позволяет эксплуатировать распространенные инструменты для администрирования сетей, подвергая риску данные пользователей.

  В опубликованной вчера работе Регули назвал эту категорию атак "мета-информационным XSS" (miXSS), сообщив о том, что она работает иначе, чем другие методы XSS и что защититься от нее довольно трудно.

  "Подумайте о тех административных утилитах, что используются для отправки запросов заголовков, Whois или принятия записей DNS. Все они получают метаданные, предоставляемые различными сервисами и показывают их внутри сформированного веб-сайта", - пишет автор.

  При проведении miXSS входные данные, предоставляемые пользователем, являются действительными и надлежащим образом стерилизованными, что исключает работу с отраженными XSS. Кроме того, данные пользователя не сохраняются, а потому постоянные XSS также не работают. Наконец, нет никаких взаимодействий с DOM, в связи с чем проведение данного типа атак также исключается.

  MiXSS обладает рядом свойств как отраженных, так и постоянных XSS, но не попадает ни в одну из этих категорий. При осуществлении сценария такой атаки действительные пользовательские данные предоставляются какому-либо сервису, который затем использует их для сбора информации и ее отображения, при этом межсайтовый скриптинг осуществляется внутри этой информации.

  Например, запись DNS TXT содержит значение <script>alert(1)</script>, а сервис служит для того, чтобы собирать записи DNS TXT с целью проверки через инфраструктуру контроля поведения отправителя (SPF). Пользователь предоставляет доменное имя, указывающее на запись TXT , а сервис выполняет данные TXT и отображает их для пользователя. Поскольку данные эти содержат JavaScript, при возвращении пользователю они обрабатываются, осуществляя таким образом межсайтовый скриптинг.

  По словам Регули, атаки подобного рода вскоре могут превратиться в серьезную угрозу, поскольку для ускорения административных задач сетевые инструменты используются все чаще.

Источник: xakep.ru

^ вернуться в начало ^

      Рейтинг@Mail.ru       Rambler's Top100 Rambler's Top100