События

CSS код может использоваться для кражи данных пользователей

За прошедший месяц исследователи в области кибербезопасности продемонстрировали ряд техник, предполагающих использование CSS кода для различных целей, например, отслеживания пользователей на web-сайтах, извлечения и кражи данных с web-страниц, сбора информации, введенной в поля форм (включая пароли) и деанонимизации пользователей Tor.

В частности, немецкий исследователь Ян Бемер (Jan Böhmer) разработал технику, позволяющую следить за рядом действий посетителей сайтов без использования JavaScript. Для реализации метода требуется только CSS. Он позволяет узнать базовую информацию о посетителе, в том числе разрешение экрана устройства, используемый браузер, ссылки, по которым был осуществлен переход, элементы, на которые наводится мышь, системные шрифты.

На минувших выходных независимый исследователь Дилан Эйри (Dylan Ayrey) опубликовал работу, в которой описал , как злоумышленник может использовать CSS код для хищения CSRF-токенов для аутентификации. Метод работает только на сайтах и в приложениях, которые хранят CSRF-токены в атрибутах различных HTML-элементов, поэтому владельцы сайтов/приложений могут легко предотвратить атаку, используя более надежные методы аутентификации. Техника, предложенная Эйри, основана на внедрении CSS-кода и использовании селекторов атрибутов для определения CSRF-токенов.

Исследователь Майк Гуалтьери (Mike Gualtieri) пошел еще дальше. Он разработал похожую технику, получившую название CSS Exfil, которая позволяет похитить важные пользовательские данные (в том числе пароли), указанные в полях форм. Как и метод Эйри, его атака базируется на внедрении CSS-кода и использовании CSS-селекторов. По словам Гуалтьери, с помощью CSS-кода атакующий может получить полный контроль над web-страницей.

В качестве меры защиты от атаки CSS Exfil Гуалтьери предлагает владельцам сайтов настроить механизм Content Security Policy (CSP, политика защиты контента), который предотвратит загрузку CSS-кода из внешних источников.

CSS (Cascading Style Sheets, каскадные таблицы стилей) - технология описания внешнего вида документа, оформленного языком разметки. Преимущественно используется как средство оформления web-страниц в формате HTML и XHTML, но может применяться с любыми видами документов в формате XML, включая SVG и XUL.

CSS-селектор - часть CSS-правила, которая сообщает браузеру, к какому элементу (или элементам) web-страницы будет применен стиль.

Источник

Автор: Сергей Куприянов
7.02.2018 (12:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.