14种新型浏览器攻击出现,影响谷歌、微软、苹果、火狐浏览器浏览器新型“XS-Leak”跨站泄露攻击,包括谷歌、微软、苹果、火狐等主流浏览器均受到影响。XS-Leaks攻击的原理是攻击者可以绕过浏览器的同源策略,恶意网站可以躲在可信网站的后面窃取用户输入的各种信息。例如,XS-Leak攻击允许恶意网站隐藏在后台并从邮件网站窃取电子邮件收件箱的内容。众所周知,跨站泄露攻击并不是一个新概念。2019年,德国达姆施塔特技术大学的研究人员在Facebook、Twitter和MicrosoftLive等流行消息和社交媒体平台的图像共享功能中发现了一个XSLeak通道。本质上,当用户在私人聊天线程中上传图像时,托管服务会为该资源创建一个唯一的URL,只有线程中的所有各方都可以访问。攻击者可以滥用此机制为目标用户创建唯一的URL,然后强制访问者的浏览器访问另一个网站以请求相同的URL。另外,正如安全人员所说,并非所有的泄漏攻击都可以被识别并归类为XS泄漏。为此,安全研究人员希望更加系统地收集新的XS-Leaks攻击,并评估针对这些攻击的缓解措施是否有效,从而更好地帮助企业进行安全防护。寻找新的XS-Leaks为了更好地寻找新的XS-Leaks攻击,安全研究人员首先确定了跨站点泄漏攻击的三个特征:遏制方法、泄漏技术和可检测差异,并评估了大量Web浏览的三个主要特征的设备。基于以上要素创建模型后,研究人员发现了34种XS-Leaks攻击,其中14种是新型攻击(下图中加号标记)。紧接着,安全研究人员对目前使用的浏览器和操作系统的56种组合进行了34次XS-Leak攻击测试,以确定每种组合的漏洞,并构建了一个名为XSinator的Web应用程序。它由三部分组成:用于测试已知和新X-Leaks的测试站点;一个易受攻击的网络应用程序,用于模拟资源在各种状态下的行为;一个包含所有以前测试结果数据库的测试站点。这样,安全研究人员就可以访问XSinator页面并运行测试,以了解浏览器和操作系统对XS-Leaks的安全程度。为了更容易找到,安全研究人员引用了各种浏览器易受攻击的XS漏洞的完整列表:如何防御上述问题,以及浏览器开发人员如何减轻或解决这些边信道攻击带来的风险?研究人员建议拒绝所有事件处理程序消息,将错误消息最小化,应用全局限制,并在发生重定向时创建新的历史属性。另一种有效缓解攻击的方法是使用X-Frame-Options来阻止iframe加载HTML资源,并实现CORP标头来控制页面是否可以嵌入资源。参与研究的LukasKnittel表示,“根据网站的不同,XS-Leaks攻击会对用户产生不同的影响。用户可以使用最新的浏览器通过禁用第三方cookie来防止大多数XS-Leaks,这样即使网站没有更新缓解措施,会有一定影响。”同时,安全研究人员还表示,发现的问题已经全部反馈给了浏览器开发团队,目前开发人员正在努力解决这些问题,因此,这些问题应该会在当前可用的版本中得到修复。值得一提的是,未来随着浏览器新功能的增加,必然会出现新的潜在XS-Leak攻击,因此安全研究人员会持续关注,可能会进一步开发相应的网站扫描工具。参考来源:https://www.bleepingcomputer.com/news/security/researchers-discover-14-new-data-stealing-web-browser-attacks/
