События

Сайты могут определять сервисы, на которых авторизованы посетители

Сайты могут определять сервисы, на которых авторизованы посетители

Немецкий разработчик Робин Волль (Robin Wall) на своей странице GitHub Pages продемонстрировал, как сайты могут снимать «медийный отпечаток», то есть вести учет того, на каких ресурсах зарегистрированы пользователи. Как поясняет специалист, большинство web-платформ могут эксплуатировать механизм аутентификации для определения, залогинен ли пользователь в сервисе. Несмотря на то, что о данной уязвимости известно уже несколько лет, большинство компаний даже не думают ее исправлять.

Эксперт пояснил работу эксплоита на примере Facebook. Механизм авторизации работает следующим образом: при переходе по ссылке https://www.facebook.com/bookmarks/pages в инкогнито-режиме, происходит автоматическое перенаправление на страницу авторизации по адресу: https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Fbookmarks%2Fpages.

Параметр http://www.facebook.com%2Fbookmarks%2Fpages – это URL, на который происходит возвращение после завершения процедуры авторизации. Однако, если использовать данный URL для перенаправления на страницу авторизации, когда пользователь уже авторизован на сайте, то он попадет на https://www.facebook.com/bookmarks/pages.

Политика крупных ресурсов не позволяет получать данные самого запроса, поскольку соединение происходит по HTTPS. Тем не менее, возможно получить изображение с домена при указании ссылки на него в login.php?next= . Получить доступ к фотографиям в социальной сети не получится, так как почти все изображения Facebook хранит на серверах по адресу fbcdn.net, однако можно получить доступ к логотипу ресурса - favicon.ico: https://www.facebook.com/login.php?next=https%3A%2F%2Fwww.facebook.com%2Ffavicon.ico.

При помощи простых манипуляций со значками можно собирать данные о том, какими сервисами пользуются посетители сайта без их ведома. По словам Волля, данная атака работает практически на всех крупных платформах, поскольку все они хранят свои иконки на основном домене (Instagram уже удалила иконку со своего домена).

По словам исследователя, данную атаку можно использовать как этап в рамках более серьезных атак, например, деанонимизации, кликджекинга или фишинга.

Автор: Сергей Куприянов
14.10.2016 (10:18)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.