Хакер #305. Многошаговые SQL-инъекции
Подавляющее большинство интернет-пользователей уязвимо к атакам, позволяющим
извлечь из их браузеров детализированную информацию о предпочтениях в Сети,
включая прочитанные материалы и данные о почтовых кодах, введенные в
онлайн-формы.
Согласно статистике, собранной по результатам 271 000 посещений
сайта,
название которого переводится, как “Что Интернет знает о тебе”, у 76%
пользователей история посещения браузеров пригодна для изучения третьими лицами.
Среди пользователей Apple Safari и Google Chrome эта цифра еще выше, но что
самое удивительное, она больше и среди тех, кто отключил JavaScript.
Несмотря на то, что уязвимость, позволяющая сайтам просматривать историю
браузеров, была раскрыта еще десять лет назад, в этот четверг команда
исследователей опубликовала несколько новых способов ее использования,
позволяющих существенно увеличить эффективность атаки. Среди прочего был
представлен алгоритм, способный сканировать до 30 000 ссылок в секунду. С его
помощью администраторы ресурсов теперь могут за считанные секунды скрытно
собрать огромные объемы данных о посетителях.
Более того, эксперты показали, как веб-мастер может эксплуатировать данную
брешь для того, чтобы получить сведения о почтовых кодах, введенных в приложения
для прогноза погоды, выявить введенные в Google или Bing поисковые запросы, а
также обнаружить, какие именно статьи читали пользователи на Wikileaks или
десятках других популярных новостных ресурсов.
Чтобы провести атаку, охотник за информацией должен сопоставить HTTP-код
ответа жертвы со списком определенных интернет-адресов, что, по мнению
аналитиков, существенно уменьшает эффективность реальных атак. Однако,
исследователям удалось преодолеть это препятствие, составив список из 6 417
самых популярных веб-адресов и осуществляя первоначальное сканирование по нему.
В ходе повторного сканирования выявляются отдельные страницы на найденных ранее
сайтах.
Познакомиться с представленной на конференции Web 2.0 Security and Privacy
работой более подробно можно
здесь.