Ответить на комментарий


Сотрудник Google разработал способ считывания истории обозревания

By yuliya - Posted on 07 декабря 2011

Картинка: 
уязвимость,  браузер,  Google

Принцип метода состоит в проверке скорости ответа на запросы, связанные с определенными web-сайтами.

Исследователь корпорации Google разработал атаку, позволяющую злоумышленникам с помощью специально сформированной web-страницы воровать историю обозревания пользователя. PoC-код, который опубликовал Михал Залевский, работает на обозревателях Internet Explorer, Google Chrome и Mozilla Firefox. «Мой метод еще недоработан, но он не сработает только для малого количества пользователей. В ходе тестирования (кода – ред.) было достигнуто надежное и высокопроизводительное изучение неуничтожимого кеша», - заявил исследователь.

Большинство ранее разработанных эксплоитов нацеливались на встроенный во все обозреватели механизм сравнения вывода посещенных и непосещенных web-страниц. По словам Залевского, разработчики браузеров устранили эту уязвимость более года назад, при этом «сильно покалечив» функции CSS, связанные с секторами :visited.

Новый эксплоит подходит к решению задачи с несколько другой стороны. С системы жертвы на содержащий эксплоит web-сайт загружается тег iframe, содержащий список определенных web-сайтов. Те сайты, которые обрабатываются целевой системой быстрее - содержатся в кеше браузера, что говорит об их недавнем посещении.

По словам исследователя, разработанный им PoC-код способен считывать информацию о 50 web-сайтах в секунду и пользователь при этом не заметит никакой подозрительной активности. Но при введении определенных усовершенствований, количество проверяемых в секунду web-страниц может быть увеличено до сотен.


securitylab.ru

Ответить

  • Строки и параграфы переносятся автоматически.
  • Доступны HTML теги: <ul> <ol> <li> <dl> <dt> <dd> <b> <i> <p> <center> <br>

CAPTCHA
Вы, случаем, не робот?

Уведомления группы

Предложения групп RSS лента. Или подписаться на эти персонализированные, общесайтовые каналы:

Сейчас на сайте

Сейчас на сайте 0 пользователей и 159 гостей.

Последние комментарии