1. 首頁 > 生活百科 > >

基于CSS和SVG的新型點擊劫持攻擊技術曝光

網絡安全編程瀏覽器Googlejavascript

基于CSS和SVG的新型點擊劫持攻擊技術曝光

安全研究員Lyra Rebane開發了一種基于可縮放矢量圖形(SVG)和層疊樣式表(CSS)的新型點擊劫持攻擊技術 。
Rebane在10月的BSides塔林會議上演示了這一技術 , 現已發布了其方法摘要 。 這種尚未完全緩解的攻擊利用了SVG過濾器可以跨源泄露信息的特點 , 違反了網絡的同源策略 。
點擊劫持是指通過各種方式欺騙應用程序或網站用戶執行非預期操作 。 它也被稱為用戶界面重定向攻擊 , 通常涉及操縱界面元素 , 以便將用戶輸入重定向用于惡意目的 。
這個術語由安全研究員Jeremiah Grossman和Robert Hansen在2008年提出 , 用來描述一種劫持鼠標點擊事件的方法 , 使其可以按攻擊者的意愿應用 , 例如讓受害者點擊網頁提交按鈕 。
此后 , 已經開發了各種緩解措施來加強網絡的基本安全模型 。 這些措施涉及限制不同源之間的交互方式 。 根據OWASP的詳細說明 , 常見的防御措施包括:使用X-Frame-Options或內容安全策略(frame-ancestors)HTTP標頭防止瀏覽器在框架中加載頁面;防止在框架中加載頁面時包含會話cookie;以及使用JavaScript防止頁面在框架中加載 。
【基于CSS和SVG的新型點擊劫持攻擊技術曝光】盡管如此 , 新的變種仍在不斷出現 , 比如去年的跨窗口偽造攻擊 。
Rebane在嘗試使用SVG和CSS復制蘋果的液體玻璃視覺失真效果時發現了她的攻擊技術 。 在成功復制后 , 她發現當將SVG/CSS重建的液體玻璃效果放置在iframe中時 , 可以訪問底層主網頁中的像素 。
Rebane告訴The Register , 過去人們已經使用SVG進行跨源攻擊 , 她引用了Paul Stone的\"使用HTML的完美像素定時攻擊\"和Ron Masas的\"人類側信道攻擊\" 。
\"我認為沒有其他人像我這樣對跨源數據運行邏輯 , \"Rebane說 。
Rebane的文章詳細介紹了她如何使用SVG過濾器創建邏輯門來處理網頁像素 , 使用任意計算函數來實現一種使用其他方法會過于復雜的點擊劫持攻擊 。
\"通過使用feBlend和feComposite , 我們可以重建所有邏輯門 , 使SVG過濾器功能完備 , \"她的文章解釋道 。 \"這意味著我們可以編程任何我們想要的東西 , 只要它不是基于時間的且不占用太多資源 。 \"
Rebane通過創建一個用于竊取Google Docs文本的概念驗證攻擊來演示她技術的應用 。 該攻擊涉及一個放置在彈窗界面窗口上的\"生成文檔\"按鈕 。 按下時 , 底層代碼檢測彈窗并為用戶輸入提供驗證碼文本框 。 驗證碼提交按鈕將建議的Docs文件添加到隱藏文本框中 。
通常 , 這可能會被設置X-Frame-Options標頭阻止 。 但Google Docs允許框架嵌入 。
Rebane說這對于需要在第三方網站上使用的應用程序來說相對常見 。 \"想想視頻嵌入(YouTube、Vimeo)、社交媒體嵌入、地圖應用、支付提供商、評論、廣告等 , \"她解釋說 。 \"還有許多應用程序并非故意設計為可嵌入的 , 但缺少阻止這種情況的必要標頭——這通常是API端點的情況 。 \"
此外 , Rebane說 , 這種攻擊可以使用HTML注入在非框架目標上運行 。
\"有一種稱為XSS的漏洞類別 , 涉及通過各種方式在網站上注入HTML以執行惡意JavaScript , \"Rebane解釋說 。 \"攻擊者能夠在您的網站上注入HTML過去意味著立即失敗 , 但現在越來越多的網站開始使用CSP , 這允許網站所有者確保頁面上不運行不安全的JavaScript , 從而防止XSS攻擊 。 \"
Rebane說 , 發現此類網站的攻擊者必須想辦法在不使用JavaScript的情況下利用注入 。
\"CSS是下一個最好的選擇 , 它可以用于許多有趣的攻擊 , \"Rebane說 , 她認為CSS符合編程語言的條件 。 \"SVG點擊劫持是可以在那里使用的眾多攻擊之一 。 \"
SVG點擊劫持并沒有徹底改變網絡安全格局 , 但它簡化了創建復雜攻擊鏈的挑戰 。
Rebane說谷歌為報告該漏洞授予了3133.70美元的漏洞獎金 。 \"這種攻擊尚未修復 , 但目前還不清楚它是否是瀏覽器錯誤 , 而且它也影響其他瀏覽器 , 比如Firefox , \"她說 。
開發人員有方法防御SVG點擊劫持 。 Rebane在她的演示中引用了Intersection Observer v2 API作為檢測SVG過濾器何時覆蓋iframe的方法 。
谷歌沒有立即回應置評請求 。
根據Rebane的說法 , 3月發布的相關Chromium錯誤可以追溯到完美像素定時攻擊及其后續版本 , 已被標記為\"不修復\" 。
Q&A
Q1:什么是SVG點擊劫持攻擊?它是如何工作的?
A:SVG點擊劫持攻擊是一種基于可縮放矢量圖形和層疊樣式表的新型網絡攻擊技術 。 它利用SVG過濾器可以跨源泄露信息的特點 , 違反網絡的同源策略 , 通過操縱界面元素來欺騙用戶執行非預期操作 , 將用戶輸入重定向用于惡意目的 。
Q2:這種攻擊技術有什么特別之處?
A:這種攻擊技術的特別之處在于可以使用SVG過濾器創建邏輯門來處理網頁像素 , 實現功能完備的計算能力 。 通過feBlend和feComposite可以重建所有邏輯門 , 使得可以編程任何想要的功能 , 簡化了創建復雜攻擊鏈的挑戰 。
Q3:開發者如何防御SVG點擊劫持攻擊?
A:開發者可以使用多種方法防御 , 包括設置X-Frame-Options或內容安全策略HTTP標頭防止瀏覽器在框架中加載頁面 , 防止會話cookie在框架加載時被包含 , 使用JavaScript防止頁面框架加載 , 以及使用Intersection Observer v2 API檢測SVG過濾器覆蓋iframe的情況 。


    推薦閱讀