Ответить на комментарий


Создание скриншотов окна браузера с помощью HTML5 и XSS

By yuliya - Posted on 28 апреля 2012

Картинка: 
HTML5,  XSS

Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.

С появлением HTML5, XSS уязвимости становятся более опасными. Теперь злоумышленник может не только похитить учетные данные пользователя, но и создать скриншот окна браузера и получить данные, к которым у него ранее не было доступа. С помощью XSS можно просмотреть скриншот административной страницы приложения или скопировать личные данные пользователя. Все зависит от сайта, на котором обнаружена уязвимость. Исследователь под ником Phil опубликовал PoC код, демонстрирующий впечатляющие возможности HTML5 и XSS.

Атака строится на использовании HTML5 Canvas – функционала, позволяющего с легкостью создавать скриншоты окна браузера, и технологии Ajax для передачи данных на сервер, контролируемый злоумышленником.

Что касается политик единства происхождения, которые могут воспрепятствовать передаче данных, сценарий, который создал Phil, использует прокси для получения доступа к внешним ресурсам за пределами домена.

Демонстрационный код с описанием работы сценариев доступен на сайте idontplaydarts.com

securitylab.ru

Теги

Ответить

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 27 гостей.

Последние комментарии