13 marca 2010

Uwaga na nowy rodzaj ataku (strokejacking)! [PoC]

sobota, marca 13, 2010 | Autor: \m/ojtek
Michał Zalewski (polski haker o pseudonimie lcamtuf, znany przede wszystkim z badań nad bezpieczeństwem protokołów sieciowych oraz popularnych przeglądarek internetowych) zaprezentował na swej stronie internetowej przykład ilustrujący praktyczne możliwości nowego rodzaju ataku internetowego. Opracowana metoda została ochrzczona mianem strokejackingu, ze względu na swe podobieństwo do dobrze znanej już metody wymuszania kliknięć (clickjacking).

Strokejacking polega na wykorzystaniu podatności obecnych w przeglądarkach oraz witrynach internetowych, w celu przygotowania niewidocznego obszaru strony internetowej, za pomocą którego atakujący jest w stanie wymusić na użytkowniku wprowadzenie pożądanego przez siebie ciągu znaków w ramach dowolnej innej witryn!

Przykład Proof of Concept dostępny pod tym adresem, składa się z dobrze znanego wszystkim internautom formularza z prośbą o przepisanie podanego tekstu (CAPTCHA) oraz ramki prezentującej ukryte działanie witryny. Przepisanie przez użytkownika słowa opportunity w przeznaczonym do tego formularzu, powoduje tak naprawdę w ramach odpowiednio spreparowanej ramki wysłanie zapytania do wyszukiwarki Google o treści porn:
Jak więc widać, korzystając ze strokejackingu, możliwe jest zmuszanie internautów odwiedzających specjalnie spreparowane witryny , do wprowadzania określonych tekstów w ramach dowolnej innej witryny. Warto podkreślić, że tego rodzaju atak (podobnie jak clickjacking) może również zostać przeprowadzony poprzez umieszczenie odpowiedniego kodu w ramach serwisów pozwalających użytkownikom na załadowanie własnego kodu DHTML/JavaScript. Dotyczy to przykładowo popularnych serwisów aukcyjnych.

Mimo, że powyższy przykład PoC działa wyłącznie w przeglądarkach Mozilla Firefox, Google Chrome oraz Apple Safari, pracujących systemach operacyjnych z rodziny Windows, to jednak przygotowanie podobnego ataku dla innych platform lub przeglądarek internetowych jest jak najbardziej możliwe, a wyeliminowanie podatności pozwalających na przeprowadzenie tego rodzaju ataków będzie bardzo trudno. Prawdopodobnie więc już niedługo mogą się pojawić pierwsze próby wykorzystania strokejackingu przez komputerowych przestępców.

Na koniec warto podkreślić, że przed powyższym zagrożeniem (podobnie jak przed atakiem typu clickjacking) może nas w dużej mierze ustrzec popularny wśród użytkowników Firefoksa dodatek NoScript.

[źródło]
Etykiety: , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.