利用XSinator.com工具,研究人员分析了浏览器和操作系统的多种组合,以找出它们对XS漏洞的脆弱性。信用:RUB,Marquard信息技术安全专家已经确定了14种新的网络浏览器攻击类型,即所谓的跨站点泄漏或XS泄漏。利用XS泄密,一个恶意网站可以通过在后台与其他网站互动,从访问者那里获取个人数据。鲁尔大学和尼德莱因应用科学大学的研究人员测试了56种浏览器和操作系统组合对34种不同的XS泄漏的防护效果。为此,他们开发了“XSinator.com”网站,该网站允许他们自动扫描浏览器以查找这些漏洞。例如,像Chrome和火狐这样的流行浏览器容易受到大量XS漏洞的攻击。“XS-泄漏通常是浏览器的错误,必须由制造商来修复,”该论文的作者之一Lukas Knittel说。
研究人员在网上和2021年11月中旬作为虚拟活动举行的ACM计算机和通信安全会议上公布了他们的发现。在会议上,Lukas Knittel博士、Christian Mainka博士、张秀坤·诺思和RUB霍斯特·戈尔茨信息技术安全研究所的约尔格·施文克教授以及尼德莱因应用科学大学的马库斯·涅米茨教授因其研究获得了最佳论文奖。这项研究是在卓越集群“大规模对手时代的网络安全”中进行的
XS-泄密是如何运作的
XS-泄密绕过了所谓的同源策略,这是浏览器抵御各种类型攻击的主要防御措施之一。同源策略的目的是防止信息从可信网站被窃取。在XS泄密事件中,攻击者仍然可以识别网站的个别细节。如果这些细节与个人数据有关,这些数据可能会被泄露。例如,网络邮件收件箱中的电子邮件可能是从恶意站点读取的,因为搜索功能会根据搜索项是否有结果以不同的方式做出响应。
为了系统地分析XS泄密事件,该小组首先确定了此类攻击的三个特征。基于这些,他们推导出一个正式的模型,有助于理解XS泄漏,并有助于检测新的攻击。因此,研究人员确定了14种新的攻击类别。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
