Обнаруженная экспертом новая атака сочетает Self-XSS and Clickjacking
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Обнаруженная экспертом новая атака сочетает Self-XSS and Clickjacking

Олег Иванов 21 Марта 2017 - 22:21
...
Обнаруженная экспертом новая атака сочетает Self-XSS and Clickjacking

Исследователь продемонстрировал атаку, сочетающую Clickjacking и Self-XSS (разновидность Cross Site Scripting, XSS). Эксперт утверждает, что новая атака может инициировать Self-XSS на страницах, которые также уязвимы для Clickjacking.

Атака, получившая название XSSJacking, была обнаружена Диланом Айри (Dylan Ayrey), она использует вектор для атак, известный как Pastejacking. Pastejacking подразумевает метод замены буфера обмена пользователя содержимым, контролируемым злоумышленником. По словам эксперта, этот метод сработает только в событиях браузера, но позволит злоумышленнику выполнить произвольный код.

Айри объясняет, что XSSJacking использует преимущества Pastejacking для того, чтобы заставить пользователей вставить XSS в текстовые поля. Кроме того, злоумышленник может заставить пользователя думать, что он взаимодействует с другим веб-сайтом путем изменения фреймов, делая их невидимыми и накладывая их поверх других элементов интерфейса.

Self-XSS и Clickjacking часто исключаются из программ по выплате вознаграждений за обнаруженные уязвимости. Однако исследователь демонстрирует, что существуют относительно реальные способы взлома сайтов с помощью этих двух брешей.

Чтобы продемонстрировать возможность подобной атаки, исследователь создал два веб-сайта, на первом из которых есть поле ввода, уязвимое для Self-XSS, но предназначенное только для показа всплывающего предупреждения, если определенный код (<script>alert(1)</script>) введен в поле. Второй сайт просит пользователей дважды ввести свой адрес электронной почты, что заставляет их использовать связку команд копировать-вставить (Copy-Paste) (многие пишут адрес электронной почты в первом поле, а затем копируют и вставляют его во второе поле).

«На этом этапе и возникает Pastejacking . После копирования содержимое буфера обмена пользователя перезаписывается с помощью <script>alert(1)</script>. Второе поле электронной почты фактически является обрезанным iframe уязвимого сайта. Когда пользователь пытается вставить свою электронную почту в поле, он фактически вставляют тег скрипта и запускает XSS на атакуемом домене» - отмечает Айри.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Телефонные мошенники начали предлагать россиянам новогодние туры
Татьяна Никитина 07 Ноября 2025 - 15:34
Мошенничество Домашние пользователи
Телефонные мошенники начали предлагать россиянам новогодние туры

Грядущие новогодние праздники в России продлятся 12 дней, и мошенники уже начали собирать дань с любителей путешествий, предлагая внести предоплату за бронирование тура, который якобы пока можно купить с большой скидкой.

По данным МТС, злоумышленники с этой целью проводят обзвоны от имени менеджеров турфирм и, выманив деньги за некий горящий тур, перестают выходить на связь.

«Как только первый платеж проведен, мошенники, пользуясь доверием собеседника, просят повторить операцию, ссылаясь на то, что она не прошла, — рассказывает журналистам директор продукта «Защитник» МТС Андрей Бийчук. — Жертве высылают подтверждение о возврате средств и убеждают совершить повторный перевод. После этого связь с «агентством» полностью прекращается: телефоны не отвечают, а сайт, если он был, перестает работать».

Использующие ИКТ мошенники традиционно активизируются в преддверии длительных праздников и сезона каникул / отпусков.

Собеседник «Известий» напомнил, что бронировать и оплачивать туры следует лишь на официальных ресурсах аккредитованных операторов и агентств. Подлог могут выдать обещания баснословных скидок, а также предложение воспользоваться левой платежной системой либо перевести деньги на карту физлица.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Данные ЭКГ можно деанонимизировать с точностью 85%
Новость
Данные ЭКГ можно деанонимизировать с точностью 85%
Злоумышленники зазывают на видеоконференцию с дипфейком губернатора
Новость
Злоумышленники зазывают на видеоконференцию с дипфейком губе...
Правительство утвердило план по противодействию киберпреступности
Новость
Правительство утвердило план по противодействию киберпреступ...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.