一個 CSS 漏洞,20 秒拿到使用戶名

  • 時間:2018-06-06 00:32 作者:宅客 來源:宅客 閱讀:200
  • 掃一掃,手機訪問
摘要:因使用戶隱私問題,Facebook 連日來一直處于風口浪尖。6月1日,據外媒 bleepingcomputer 報道,因為部分瀏覽器的 CSS 漏洞,惡意的第三方網站同樣能收集 Facebook 的使用戶信息,如使用戶的個人資料圖片和名字等。在推特上,有使用戶稱這是個“令人嘆為觀止”的漏洞。不過這次

因使用戶隱私問題,Facebook 連日來一直處于風口浪尖。

6月1日,據外媒 bleepingcomputer 報道,因為部分瀏覽器的 CSS 漏洞,惡意的第三方網站同樣能收集 Facebook 的使用戶信息,如使用戶的個人資料圖片和名字等。

在推特上,有使用戶稱這是個“令人嘆為觀止”的漏洞。

一個 CSS 漏洞,20 秒拿到使用戶名

不過這次的鍋,得 Firefox、Chrome 等瀏覽器來背。

這個漏洞來自于 2016 年推出的一個標準 Web 功可以,是 CSS 層疊樣式表( Cascading Style Sheets )標準中引入的一項新功可以,該功可以稱為“ mix-blend-mode ”混合模式,當 iframe 將 Facebook 頁面嵌入到第三方網站時候,能泄露可視內容(也就是像素)。

一個 CSS 漏洞,20 秒拿到使用戶名

據安全人員分析,此舉能幫助少量廣告商將 IP 地址或者廣告配置文件鏈接到真實的人身上,從而對使用戶的在線隱私構成嚴重威脅。

據悉,CSS 混合模式功可以支持16 種混合模式,并且在Chrome(自v49)和Firefox(自v59以來)中完全支持。

在最新發布的研究中,來自瑞士谷歌的安全工程師 Ruslan Habalov 與安全研究員 DarioWei?er 一起曝光了攻擊者如何濫使用 CSS3 混合模式從其余站點獲取隱私信息。

該技術依賴于誘用戶訪問攻擊者將 iframe 嵌入到其余網站的惡意網站。在他們所舉的例子中,Facebook 的社交小部件中的兩個嵌入式 iframe 中招 ,但其余網站也容易受到這個問題的影響。

Habalov 和 Wei?er 表示,根據呈現整個 DIV 堆棧所需的時間,攻擊者能確定使用戶屏幕上顯示的像素顏色。

正常情況下,攻擊者無法訪問這些 iframe 的數據,這是因為瀏覽器和遠程站點中實施的反點擊劫持和其余安全措施,允許其內容通過 iframe 進行嵌入。

一個 CSS 漏洞,20 秒拿到使用戶名

在線發布的兩個演示中,研究人員可以夠檢索使用戶的 Facebook 名稱,低分辨率版本的頭像以及他喜歡的站點。

在實際的攻擊中,大約需要 20 秒來取得使用戶名,500 毫秒來檢查任何喜歡/不喜歡的頁面的狀態,以及大約 20 分鐘來檢索 Facebook 使用戶的頭像。

攻擊很容易掩蓋,由于 iframe 能很容易地移出屏幕,或者隱藏在其余元素下面。

研究人員報告稱,蘋果的Safari瀏覽器、微軟 Internet Explorer 和 Edge 瀏覽器還未受影響,由于它們還沒有實現標準“ mix-blend-mode ”模式功可以。

宅客頻道 VIA bleepingcomputer

  • 全部評論(0)
最新發布的資訊信息
【系統環境|】淘碼庫,據消息稱已被調查。淘碼庫源碼網,已經無法訪問!(2020-01-14 04:13)
【系統環境|服務器應用】Discuz隱藏后臺admin.php網址修改路徑(2019-12-16 16:48)
【系統環境|服務器應用】2020新網站如何讓百度快速收錄網站首頁最新方法,親測有用!免費(2019-12-16 16:46)
【系統環境|服務器應用】Discuz發布帖子時默認顯示第一個主題分類的修改方法(2019-12-09 00:13)
【系統環境|軟件環境】Android | App內存優化 之 內存泄漏 要點概述 以及 處理實戰(2019-12-04 14:27)
【系統環境|軟件環境】MySQL InnoDB 事務(2019-12-04 14:26)
【系統環境|軟件環境】vue-router(單頁面應用控制中心)常見用法(2019-12-04 14:26)
【系統環境|軟件環境】Linux中的Kill命令(2019-12-04 14:26)
【系統環境|軟件環境】Linux 入門時必學60個文件解決命令(2019-12-04 14:26)
【系統環境|軟件環境】更新版ThreeJS 3D粒子波浪動畫(2019-12-04 14:26)
手機二維碼手機訪問領取大禮包
返回頂部
3d开机号查询