Исследователь Тайлер Регули из nCircle рассказал о новом типе атак с
использованием межсайтового скриптинга, который позволяет эксплуатировать
распространенные инструменты для администрирования сетей, подвергая риску данные
пользователей.

В опубликованной вчера работе Регули назвал эту категорию атак "мета-информационным
XSS" (miXSS), сообщив о том, что она работает иначе, чем другие методы XSS и что
защититься от нее довольно трудно.

"Подумайте о тех административных утилитах, что используются для отправки
запросов заголовков, Whois или принятия записей DNS. Все они получают
метаданные, предоставляемые различными сервисами и показывают их внутри
сформированного веб-сайта", - пишет автор.

При проведении miXSS входные данные, предоставляемые пользователем, являются
действительными и надлежащим образом стерилизованными, что исключает работу с
отраженными XSS. Кроме того, данные пользователя не сохраняются, а потому
постоянные XSS также не работают. Наконец, нет никаких взаимодействий с DOM, в
связи с чем проведение данного типа атак также исключается.

MiXSS обладает рядом свойств как отраженных, так и постоянных XSS, но
не попадает ни в одну из этих категорий. При осуществлении сценария такой атаки
действительные пользовательские данные предоставляются какому-либо сервису,
который затем использует их для сбора информации и ее отображения, при этом
межсайтовый скриптинг осуществляется внутри этой информации.

Например, запись DNS TXT содержит значение "<script>alert(1)</script>",
а сервис служит для того, чтобы собирать записи DNS TXT с целью проверки через
инфраструктуру контроля поведения отправителя (SPF). Пользователь предоставляет
доменное имя, указывающее на запись TXT , а сервис выполняет данные TXT и
отображает их для пользователя. Поскольку данные эти содержат JavaScript, при
возвращении пользователю они обрабатываются, осуществляя таким образом
межсайтовый скриптинг.

По словам Регули, атаки подобного рода вскоре могут превратиться в серьезную
угрозу, поскольку для ускорения административных задач сетевые инструменты
используются все чаще.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии