令人惊叹的 CSS 漏洞攻击,Firefox 和 Chrome 中枪

栏目: IT资讯 · 发布时间: 6年前

内容简介:来自 Google 的安全工程师 Ruslan Habalov 近日在其个人站点中披露,在 Chrome 和 Firefox 等浏览器中出现了一个旁路攻击,能够泄露跨来源框架的视觉内容。发现该漏洞的还有德国的渗透测试工程师 Dario Weißer ...

来自 Google 的安全工程师 Ruslan Habalov 近日在其个人站点中披露,在 Chrome 和 Firefox 等浏览器中出现了一个旁路攻击,能够泄露跨来源框架的视觉内容。发现该漏洞的还有德国的渗透测试工程师 Dario Weißer 和另外一名安全研究人员。

该漏洞归因于 2016 年 CSS3 Web 标准中引入的名为 “mix-blend-mode” 的特性,允许 Web 开发人员将 Web 组件叠加在一起,并添加控制其交互方式的效果。为展示此漏洞,研究人员造访了一个恶意网站,发现可以利用跨域 iframe 获取用户的 Facebook 资料,包括照片和用户名等信息,整个过程不需要与用户有额外的互动。

令人惊叹的 CSS 漏洞攻击,Firefox 和 Chrome 中枪令人惊叹的 CSS 漏洞攻击,Firefox 和 Chrome 中枪

Habalov 在文中解释称,在启用 “mix-blend-mode” 时,攻击者可以利用 DIV 元素的层叠来覆盖目标对象的浮动框架(iframe),浏览器渲染此一层叠的时间会根据浮动框架内的像素颜色而有所不同,最后在浮动框架中移动该 DIV 层叠,强迫重新渲染并测量个别的渲染时间,即有可能算出浮动框架的内容。经过测试,大概 20 秒左右就能拿到用户的 ID ,5 分钟左右就能拿到模糊的个人资料和图片。

令人惊叹的 CSS 漏洞攻击,Firefox 和 Chrome 中枪

令人惊叹的 CSS 漏洞攻击,Firefox 和 Chrome 中枪

据悉,受影响的浏览器主要是 Firefox 和 Chrome,Internet Explorer 和 Microsoft Edge 不受影响是因为它们不支持 mix-blend-mode,Safari 由于采用的是矢量化的实现方式也不受影响。

Habalov 在验证漏洞后,于去年向浏览器开发商和 Facebook 报告了该漏洞,Facebook 的最终回复是对此无能为力,Google 和 Mozilla 在 Chrome v63.0 和 Firefox Quantum v 60.0 中修复了该漏洞。


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

代码之外的功夫

代码之外的功夫

[美] Gregory T. Brown / 李志 / 人民邮电出版社 / 2018-3-1 / 49.00元

本书虽然面向程序员,却不包含代码。在作者看来,90%的程序设计工作都不需要写代码;程序员不只是编程专家,其核心竞争力是利用代码这一工具解决人类社会的常见问题。以此作为出发点,作者精心构思了8个故事,以情景代入的方式邀请读者思考代码之外的关键问题:软件开发工作如何从以技术为中心转为以人为本?透过故事主人公的视角,读者能比较自己与书中角色的差异,发现决策过程的瑕疵,提升解决问题的综合能力。 书中......一起来看看 《代码之外的功夫》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换