|
网络公司急于填补严重的跨域漏洞-灰鸽子使用教程,远控灰鸽子
谷歌和其他大型属性脆弱。灰鸽子教程
出现了一个严重的弱点,使用Adobe冲击波Flash(SWF)文件转换成漏出浏览器会话的数据。
无名的cross-scripting请求伪造错误在一个概念验证详细信息安全工程师Michele Spagnuolo,目前谷歌的一名员工,总部设在苏黎世,瑞士。
根据Spagnulo,几个知名网站是脆弱的,包括大多数谷歌域,Instagram,Tumblr和eBay。
Twitter也脆弱,但上周末插入洞里。
@mikispag @twittersecurity是的你受伤有点毁了我们的周末
-伯克·d·Demir(@bd)7月5日,2014年
概念验证通过Adobe SFW文件从一个二进制格式转换成文字或字母数字文件。
攻击者可以将“透露”SWF文件上传到一个域,被受害者的浏览器加载和执行由Adobe Flash Player。远程控制软件
一旦在脆弱的系统上运行,精雕细琢的SWF文件可用于请求的漏出敏感数据从目标站点到黑客的目的地。
Spagnuolo表示这个问题已经知道安全社区,但直到现在,还没有公开的工具来生成ASCII或alphanumerical-only SWF文件。
Spagnuolo已经创建了一个名为罗塞塔的工具Flash编写“滥用JSONP”(Javascript对象表示法前缀,一个开源的数据交换标准,被广泛使用在web上),但他指出,脆弱性并不限于协议。
罗塞塔Flash图。来源:杨爱瑾Spagnuolo 灰鸽子远控
失眠安全研究员亚当•波瓦洛分析了跨域脆弱性iTnews和descrived“相当糟糕的屁股”,引人注目的,因为它不是应用程序或特定目标。
“这个漏洞是一个很好的例子连接在一起,三个或四个不同的合法的浏览器行为变成一个很严重的错误,”波瓦洛说。
“我们见过Flash用于跨域攻击,但这种“普遍“跨域的弱点可能真的被滥用。JSONP是相当广泛使用,暴露出动态web应用程序的用户帐户妥协。减轻这个bug正确依赖Flash更新,从来没有顺利。免杀远控灰鸽子
”这种类型的弱点展示了复杂和脆弱的现代浏览器和web的生态系统的组件之间的关系。”
漏洞已经报告给谷歌已经设法获得其网站。
Adobe也提供了一个解决的问题在最新的Flash播放器版本14.0.0.145,今天发布。
Spagnuolo建议网站管理员应该避免使用JSONP敏感的领域,并尽量使用专用的沙箱域。 |
|