據(jù)BleepingComputer消息，近日，波鴻魯爾大學(xué) (RUB) 和 Niederrhein 應(yīng)用科學(xué)大學(xué)的安全研究人員發(fā)現(xiàn)了14種針對網(wǎng)絡(luò)瀏覽器的新型“XS-Leak”跨站點泄漏攻擊，包括谷歌、微軟、蘋果和火狐等主流瀏覽器都受到影響。

[[438865]]

XS-Leaks攻擊的原理是，攻擊者可以繞過Web 瀏覽器中的同源策略，惡意網(wǎng)站借此隱藏在可信的網(wǎng)站背后，這樣就可以竊取用戶輸入的各類信息。例如，XS-Leak攻擊可以讓惡意網(wǎng)站藏在后臺，從郵件網(wǎng)站中竊取電子郵件收件箱的內(nèi)容。

眾所周知，跨站點泄漏攻擊并不是一個新的概念。2019年，德國達(dá)姆施塔特工業(yè)大學(xué)的研究員在Facebook、推特和 Microsoft Live 等流行的消息和社交媒體平臺的圖像分享特性中發(fā)現(xiàn)了一個 XSLeak 信道。

從本質(zhì)上來看看，當(dāng)用戶在私密聊天線程中上傳圖像后，主機服務(wù)會為該資源創(chuàng)建一個唯一的 URL，僅供線程內(nèi)的各方訪問。攻擊者可濫用該機制為目標(biāo)用戶創(chuàng)建一個唯一的URL，之后強制訪客的瀏覽器訪問另外一個網(wǎng)站請求相同的URL。

也正如安全人員所說的那樣，并非所有的泄露攻擊都可以識別、歸類為XS 泄漏。為此安全研究人員想要更加系統(tǒng)的搜集新的XS-Leaks攻擊，評估這些攻擊的緩解措施是否有效，以便可以更好地幫助企業(yè)做好安全防護(hù)。

尋找新的XS-Leaks

為了更好地尋找新的XS-Leaks攻擊，安全研究人員首先確定了跨站點泄漏攻擊的三個特征：包含方法、泄漏技術(shù)和可檢測的差異，并評估了大量Web瀏覽器的三大特征。

在基于上述要素創(chuàng)建模型后，研究人員發(fā)現(xiàn)了 34 個XS-Leaks攻擊，其中 14 個是新型的攻擊(如下圖用加號標(biāo)記)。

緊接著，安全研究人員對當(dāng)下使用的56 種瀏覽器和操作系統(tǒng)組合，測試了34種XS-Leak攻擊，以確定每個組合的脆弱性，并構(gòu)建了一個名為 XSinator 的 Web 應(yīng)用程序，由以下三部分組成：

• 一個用來測試的站點，以此測試已知和新型的X-Leaks;
• 一個易受攻擊的Web 應(yīng)用程序，用來模擬資源在各狀態(tài)下的行為;
• 一個包含所有先前測試結(jié)果的數(shù)據(jù)庫。

這樣的話，安全研究人員可以訪問XSinator頁面，并運行測試，查看瀏覽器和操作系統(tǒng)在XS-Leaks方面的安全性。

為了方便查找，安全研究人員列舉了各種瀏覽器易受攻擊的 XS 泄漏的完整列表：

如何防御

針對以上這些問題，瀏覽器開發(fā)人員該如何緩解或解決這些側(cè)信道攻擊帶來的風(fēng)險?

研究人員建議，應(yīng)拒絕所有的事件處理器信息，盡量減少錯誤信息的發(fā)生，應(yīng)用全局限制，并在重定向發(fā)生時創(chuàng)建一個新的歷史屬性。

還有一個有效緩解攻擊的辦法是使用X-Frame-Options來阻止iframe加載HTML 資源，并實現(xiàn)CORP標(biāo)頭來控制頁面是否可以嵌入資源。

參與此次研究的Lukas Knittel表示，“根據(jù)網(wǎng)站的不同，XS-Leaks攻擊會對用戶產(chǎn)生不同的影響。用戶可以使用最新的瀏覽器，通過禁用第三方cookie來防御大多數(shù)的XS-Leaks，這樣的話即使網(wǎng)站沒有更新的緩解措施，也會有一定的效果。”

同時安全研究人員還表示，目前已經(jīng)將所有發(fā)現(xiàn)的問題反饋給各瀏覽器開發(fā)團(tuán)隊，開發(fā)商目前正在嘗試解決這些問題。因此，這些問題應(yīng)該可以在當(dāng)前可用的版本中進(jìn)行修復(fù)。

值得一提的是，未來隨著新的瀏覽器功能的增加，必定也會產(chǎn)生新的潛在的XS-Leak攻擊，因此安全研究人員將持續(xù)進(jìn)行關(guān)注，他們可能會進(jìn)一步開發(fā)出相應(yīng)的網(wǎng)站掃描工具。

參考來源：

https://www.bleepingcomputer.com/news/security/researchers-discover-14-new-data-stealing-web-browser-attacks/