新聞中心
NEW CENTER
聯係澳門AG視訊
官網:http://www.jxkzhb.com
電話:0518-85827858
郵箱:18936669530@189.cn
地址:連雲港市花果山的大道17號科創城3號樓902室
行業動態
當前位置:首頁>新聞中心>行業動態
IE極度危險XSS漏洞 開啟高度可信釣魚攻擊
文章來源:江蘇澳門AG視訊計算機科技有限公司   發布時間:2015-02-05   瀏覽量:353

文章來自安全牛,原文鏈接:http://www.aqniu.com/threat-alert/6547.html

       IE瀏覽器一個通用跨站腳本漏洞(XSS)近日被安全人員披露,該漏洞允許攻擊者繞過瀏覽器安全機製同源策略(SOP),發起高可信網絡釣魚攻擊或在任意網站上劫持用戶帳戶。杜森(Deusen)安全谘詢公司的研究員大衛·利奧在漏洞披露文章中介紹了漏洞的詳細信息。
       文章中利用概念驗證鏈接dailymail.co.uk,作為攻擊目標進行演示。根據演示鏈接,當在最新安裝的Windows8.1操作係統的計算機上打開網頁瀏覽器IE11時,利用頁麵為用戶提供了一個鏈接。用戶點擊該鏈接,在新窗口中打開dailymail.co.uk網站。短短七秒後,網站的內容就被替換成了另外一個頁麵,上麵寫著“網站被黑,我是杜森”。
       這個惡意頁麵通過外部域名加載,但瀏覽器地址欄仍然顯示的是www.dailymail.co.uk,這就意味著這種技術可以用於構建可信的釣魚攻擊。攻擊者完全可以利用銀行網站的網址做掩護,提供一個流氓表單,要求用戶輸入私人財務信息。由於瀏覽器地址欄仍將繼續顯示銀行的合法域名,對於用戶來說,幾乎沒有任何跡象表明哪裏出了什麽差錯。
       安全人員證實,該攻擊甚至可以繞過標準的HTTP-to-HTTPS限製。
       更糟糕的是,該漏洞還可繞過瀏覽器的同源策略。同源策略是存在於所有瀏覽器中的一種安全機製,用來阻止網站中通過IFRAME加載的其他網站代碼對網站內容進行操作。
       假如如果沒有這個安全限製,攻擊者就可以利用IFRAME嵌入的網站代碼閱讀用戶的COOKIE信息。COOKIE認證信息是網站為了記住通過身份驗證的用戶在瀏覽器中設定的標識符。如果將這些COOKIE複製到另外的瀏覽器,就可以自動授權訪問其對應的賬戶。
       跨站腳本漏洞通常就是允許攻擊者竊取COOKIE,並通過他們的URL地址在脆弱網站中注入惡意內容予以顯示。該IE漏洞可以用跨站腳本漏洞的形式攻擊所有網站,所以被發現者稱之為“通用跨站腳本”(universal XSS)。
       “通用跨站腳本漏洞允許攻擊者可以在任何網站上執行腳本內容,更別說那些本就存在缺陷的網站了。要成功利用通用跨站點腳本漏洞,攻擊者隻需通過眾所周知的惡意廣告、網絡釣魚、乃至評論垃圾廣告,誘使受害者加載惡意網站即可。”
       以惡意廣告為載體的攻擊手段已經被攻擊者廣泛使用,通過欺詐廣告網絡使受害者接受惡意廣告並顯示在合法網站上。
       目前,該漏洞隻被證實影響IE11。
       網站可以通過在網頁代碼中把X-Frame-Options的值設置成“deny”或者”same-origin”,即可防止本身被iframes裝載。但不幸的是,很少有網站采用這種被推薦的安全機製。