Исследователь Тайлер Регули из nCircle рассказал о новом типе атак с использованием межсайтового скриптинга, который позволяет эксплуатировать распространенные инструменты для администрирования сетей, подвергая риску данные пользователей.
В опубликованной вчера работе Регули назвал эту категорию атак "мета-информационным XSS" (miXSS), сообщив о том, что она работает иначе, чем другие методы XSS и что защититься от нее довольно трудно.
"Подумайте о тех административных утилитах, что используются для отправки запросов заголовков, Whois или принятия записей DNS. Все они получают метаданные, предоставляемые различными сервисами и показывают их внутри сформированного веб-сайта", - пишет автор.
При проведении miXSS входные данные, предоставляемые пользователем, являются действительными и надлежащим образом стерилизованными, что исключает работу с отраженными XSS. Кроме того, данные пользователя не сохраняются, а потому постоянные XSS также не работают. Наконец, нет никаких взаимодействий с DOM, в связи с чем проведение данного типа атак также исключается.
MiXSS обладает рядом свойств как отраженных, так и постоянных XSS, но не попадает ни в одну из этих категорий. При осуществлении сценария такой атаки действительные пользовательские данные предоставляются какому-либо сервису, который затем использует их для сбора информации и ее отображения, при этом межсайтовый скриптинг осуществляется внутри этой информации.
Например, запись DNS TXT содержит значение "< s c r i p t > a l e r t ( 1 ) < / s c r i p t >", а сервис служит для того, чтобы собирать записи DNS TXT с целью проверки через инфраструктуру контроля поведения отправителя (SPF). Пользователь предоставляет доменное имя, указывающее на запись TXT , а сервис выполняет данные TXT и отображает их для пользователя. Поскольку данные эти содержат JavaScript, при возвращении пользователю они обрабатываются, осуществляя таким образом межсайтовый скриптинг.
По словам Регули, атаки подобного рода вскоре могут превратиться в серьезную угрозу, поскольку для ускорения административных задач сетевые инструменты используются все чаще.
Хакер
Комментариев нет:
Отправить комментарий