Обнаруженная экспертом новая атака сочетает Self-XSS and Clickjacking
Главная » Новости

Обнаруженная экспертом новая атака сочетает Self-XSS and Clickjacking

Олег Иванов 21 Марта 2017 - 22:21
...
Обнаруженная экспертом новая атака сочетает Self-XSS and Clickjacking

Исследователь продемонстрировал атаку, сочетающую Clickjacking и Self-XSS (разновидность Cross Site Scripting, XSS). Эксперт утверждает, что новая атака может инициировать Self-XSS на страницах, которые также уязвимы для Clickjacking.

Атака, получившая название XSSJacking, была обнаружена Диланом Айри (Dylan Ayrey), она использует вектор для атак, известный как Pastejacking. Pastejacking подразумевает метод замены буфера обмена пользователя содержимым, контролируемым злоумышленником. По словам эксперта, этот метод сработает только в событиях браузера, но позволит злоумышленнику выполнить произвольный код.

Айри объясняет, что XSSJacking использует преимущества Pastejacking для того, чтобы заставить пользователей вставить XSS в текстовые поля. Кроме того, злоумышленник может заставить пользователя думать, что он взаимодействует с другим веб-сайтом путем изменения фреймов, делая их невидимыми и накладывая их поверх других элементов интерфейса.

Self-XSS и Clickjacking часто исключаются из программ по выплате вознаграждений за обнаруженные уязвимости. Однако исследователь демонстрирует, что существуют относительно реальные способы взлома сайтов с помощью этих двух брешей.

Чтобы продемонстрировать возможность подобной атаки, исследователь создал два веб-сайта, на первом из которых есть поле ввода, уязвимое для Self-XSS, но предназначенное только для показа всплывающего предупреждения, если определенный код (<script>alert(1)</script>) введен в поле. Второй сайт просит пользователей дважды ввести свой адрес электронной почты, что заставляет их использовать связку команд копировать-вставить (Copy-Paste) (многие пишут адрес электронной почты в первом поле, а затем копируют и вставляют его во второе поле).

«На этом этапе и возникает Pastejacking . После копирования содержимое буфера обмена пользователя перезаписывается с помощью <script>alert(1)</script>. Второе поле электронной почты фактически является обрезанным iframe уязвимого сайта. Когда пользователь пытается вставить свою электронную почту в поле, он фактически вставляют тег скрипта и запускает XSS на атакуемом домене» - отмечает Айри.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Осторожно, фейк: в Telegram распространяют ложь о «выплатах 9 Мая»
Екатерина Быстрова 07 Мая 2025 - 09:16
МошенничествоОнлайн-мошенничество Домашние пользователи F6
Осторожно, фейк: в Telegram распространяют ложь о «выплатах 9 Мая»

В преддверии Дня Победы в Telegram начали распространяться фейковые новости о «новых социальных выплатах» для россиян. В сообщениях утверждается, что якобы принято решение о дополнительных мерах поддержки — дескать, каждому гражданину РФ полагается выплата от 38 925 рублей.

При этом, как пояснили специалисты компании F6, нигде не говорится о критериях нуждаемости, а выплаты «приурочены к 80-летию Победы».

Чтобы сделать фейк более убедительным, авторы таких постов советуют обратиться в «местное отделение соцзащиты» или пройти по ссылке и «ознакомиться с инструкцией».

Ссылка ведёт на телеграм-бота, где пользователю обещают 50 000 рублей. Но вместо этого его перенаправляют в другой канал — якобы инвестиционный, где предлагают вложить деньги и обещают огромную прибыль. При этом прямо в сообщениях указываются банковские карты, на которые нужно отправить «инвестиции».

По наблюдениям экспертов, такие каналы работают уже давно: большую часть времени они публикуют достоверные и безобидные новости о социальной поддержке, а затем — в канун крупных праздников вроде Нового года или 9 Мая — вбрасывают фейковые сообщения о выплатах.

 

В декабре 2024 года уже была подобная волна перед праздниками. Аудитория у таких каналов может достигать сотен тысяч подписчиков. Ни один из них не зарегистрирован в Роскомнадзоре как официальное СМИ.

Сценарий мошенничества с «выплатами» — один из самых популярных. Часто используется в преддверии праздников: 9 Мая, Нового года, 23 Февраля, 8 Марта, 1 сентября. Цель — привлечь внимание, заполучить данные пользователя и выманить у него деньги.

Как защитить себя:

  • Проверяйте информацию только через официальные источники — например, «Госуслуги» или МФЦ.
  • Не подписывайтесь на сомнительные телеграм-каналы — даже пассивная подписка даёт злоумышленникам информацию о вас.
  • Не переходите по ссылкам из подозрительных сообщений, особенно в мессенджерах и соцсетях.
  • Никому не передавайте свои персональные и банковские данные, пароли и коды из СМС.
  • Не переводите деньги незнакомым людям.
  • Прежде чем куда-то вкладывать средства, ищите отзывы — если это мошенничество, скорее всего, кто-то уже об этом написал.
  • Если сомневаетесь, проконсультируйтесь с человеком, которому доверяете.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Google начинает следить за юзерами Android еще до открытия приложений
Новость
Google начинает следить за юзерами Android еще до открытия п...
BI.ZONE и Рег.ру вскрыли мошенническую схему с оплатой хостинга
Новость
BI.ZONE и Рег.ру вскрыли мошенническую схему с оплатой хости...
3,2 млн пользователей стали жертвами вредоносных расширений для Chrome
Новость
3,2 млн пользователей стали жертвами вредоносных расширений...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.