内容简介:恶意网站可以利用浏览器扩展 API,在浏览器内执行代码,来窃取用户敏感信息,比如用户书签、历史浏览记录和 cookies。在这之后,攻击者可能劫持用户的登陆会话。而敏感账户像是电子邮件、社交媒体或工作账户等,可...
恶意网站可以利用浏览器扩展 API,在浏览器内执行代码,来窃取用户敏感信息,比如用户书签、历史浏览记录和 cookies。在这之后,攻击者可能劫持用户的登陆会话。而敏感账户像是电子邮件、社交媒体或工作账户等,可能被攻击者访问。
此外,攻击者这种浏览器扩展 API 的恶意使用方式,可以用来触发恶意文件下载并存储用户设备上。常驻在扩展中存储和检索数据,可以在网络上追踪用户。
这类型攻击的存在已在学术论文中得到验证,研究员用软件识别出近200个将内部扩展 API 通信接口暴露给 Web 应用的扩展,恶意网站可以通过这些软件访问用户浏览器中的数据。
研究院成员在1月初已经向浏览器报告调查结果。各大浏览器基本已采取行动,或下架了有问题扩展。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
- 360 浏览器:中国为什么没有自主研发的浏览器内核?
- 新版 Edge 浏览器或将拥有两个不同的浏览器内核
- [浏览器安全漏洞二] hao123桔子浏览器 – 页面欺骗漏洞
- Brave 浏览器续航测试:功耗比各大主流浏览器都要低
- 【winter重学前端笔记】10浏览器:一个浏览器是如何工作的?CSS计算
- CSS浏览器兼容性的4个解决方案:浏览器CSS样式初始化、浏览器私有属性,CSS hack语法和自动化插件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
