Механизм AppCache позволяет веб-приложениям кешировать ресурсы в локальном хранилище твоего браузера. Это дает им возможность взаимодействовать с тобой даже в автономном режиме. Но когда через AppCache кешируются кросс-доменные ресурсы, возникает серьезный риск утечки конфиденциальной информации. Давай разберемся, как это происходит.
 

Что такое CORSIDA?

Аббревиатура CORSIDA придумана мной и расшифровывается как Cross-Origin Resource Status Identification Attack. Суть CORSIDA заключается в идентификации статуса кросс-доменных ресурсов посредством злоупотребления манифестом AppCache: URL существует, редирект, ошибка.

Пример манифеста AppCache
Пример манифеста AppCache

CORSIDA схожа с CSRF. Выполняя CORSIDA, злодей стремится заполучить твою конфиденциальную информацию, косвенно хранящуюся в браузере. Для этого ему нужно, чтобы ты посетил его сайт, страницы которого слегка вредоносны. И когда я говорю «слегка», я имею в виду, что они практически безобидны. На них нет и намека на эксплоиты, которые могли бы помочь злоумышленнику заполучить контроль над твоим браузером. Но эти слегка зараженные страницы содержат вполне допустимые теги HTML и скрипты для инклудинга кросс-доменного контента. Идентифицировать злонамеренное поведение такого вредоносного сайта возможно, но очень сложно.

INFO

Атака CORSIDA построена на злоупотреблении механизмом CORS, который современные браузеры используют, чтобы дать веб-страницам возможность получать доступ к ресурсам другого домена.

 

Чем опасна CORSIDA

Злодей может использовать базовую версию CORSIDA, чтобы определить, сохранен ли в твоем браузере логин и пароль веб-приложения. Часто, когда ты заходишь на свою личную страницу, то или иное приложение делает условный редирект: если в браузере нет логина и пароля, то происходит редирект на страницу залогинивания, а если есть, то не происходит.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Аватар

Владимир Карев

Инженер с 50-летним стажем. Окончил ТУСУР в 73-м. Карьеру свою начинал с работы на алтайском военном заводе РОТОР, где разрабатывал навигационную электронику для бортового вооружения подлодок. С вычислительной техникой имею дело ещё с тех пор, когда она была ламповой. Свой первый ZX Spectrum спаял самостоятельно. Если есть вопросы, не стесняйтесь писать в комментариях. А ещё лучше на электронную почту: vladimir.tech@mail.ru.

1 комментарий

  1. Аватар

    Artur Basak

    17.04.2019 at 15:24

Оставить мнение

Check Also

Хроники битвы при Denuvo. Как «непробиваемая» игровая защита EA Origin оказалась пробиваемой

Защита от пиратства Denuvo пришла на смену SecuROM и связана с одним действующим лицом – Р…