国产精品人-国产精品人成人免-国产精品人成在线-国产精品人成在线播放-国产精品人成在线播放新网站-国产精品人成在线二区

行業(yè)新聞

您當(dāng)前的位置:首頁(yè) > 新聞資訊 > 行業(yè)新聞

Google Chrome瀏覽器漏洞使數(shù)十億用戶遭受數(shù)據(jù)被盜風(fēng)險(xiǎn)

發(fā)布源:深圳維創(chuàng)信息技術(shù)發(fā)布時(shí)間:2020-11-13 瀏覽次數(shù):

谷歌的Chrome瀏覽器中存在安全漏洞,攻擊者可利用該漏洞繞過網(wǎng)絡(luò)的內(nèi)容安全策略(CSP),進(jìn)而竊取用戶數(shù)據(jù)并執(zhí)行流氓代碼。

PerimeterX網(wǎng)絡(luò)安全研究人員Gal Weizman表示,該漏洞編號(hào)為CVE-2020-6519,存在于Windows、Mac和安卓的Chrome、Opera和Edge瀏覽器中,潛在影響用戶多達(dá)十億。

其中,Chrome的73版本(2019年3月)到83版本均會(huì)受到影響,84版本已在7月發(fā)布,并修復(fù)了該漏洞。

Chrome瀏覽器擁有超過20億用戶,并且占瀏覽器市場(chǎng)的65%以上。

CSP是一種Web標(biāo)準(zhǔn),旨在阻止某些攻擊,比如跨站點(diǎn)腳本(XSS)和數(shù)據(jù)注入攻擊。

CSP允許Web管理員指定瀏覽器將其視為可執(zhí)行腳本的有效源的域。

然后,與CSP兼容的瀏覽器將僅執(zhí)行從這些域接收的源文件中加載的腳本。

對(duì)此,Weizman在報(bào)告中表示:“CSP是網(wǎng)站所有者用來執(zhí)行數(shù)據(jù)安全策略以防止在其網(wǎng)站上執(zhí)行惡意影子代碼的主要方法,因此當(dāng)繞過瀏覽器執(zhí)行時(shí),個(gè)人用戶數(shù)據(jù)將面臨風(fēng)險(xiǎn)。”目前,大多數(shù)網(wǎng)絡(luò)均使用CSP策略,比如ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo和Zoom等互聯(lián)網(wǎng)巨頭。

當(dāng)然,也有如GitHub、Google Play商店、LinkedIn、PayPal、Twitter、Yahoo和Yandex等不會(huì)受此次漏洞的影響。

Chrome的CSP強(qiáng)制執(zhí)行機(jī)制中存在漏洞并不直接表示網(wǎng)站已被破壞,因?yàn)楣粽哌€需要設(shè)法從該網(wǎng)站獲取惡意腳本。

網(wǎng)站信任的安全機(jī)制存在漏洞,安全機(jī)制原本可以對(duì)第三方腳本執(zhí)行更嚴(yán)格的策略,但是因?yàn)槁┒磿?huì)讓網(wǎng)站認(rèn)為他們是安全的而允許他們通過。

攻擊者利用該漏洞獲取Web服務(wù)器權(quán)限(通過暴破密碼或者其他方式)并修改JavaScript利用代碼。

在JavaScipt中增加 frame-src或者child-src指令,攻擊者利用這種方式饒過CSP策略執(zhí)行、繞過網(wǎng)站安全規(guī)則。

經(jīng)驗(yàn)證后,該漏洞的威脅程度為中等(6.5分),然而,因?yàn)樵撀┒瓷婕癈SP策略執(zhí)行,所以影響很廣。

網(wǎng)站開發(fā)人員允許第三方腳本修改支付頁(yè)面,比如知道CSP會(huì)限制敏感信息,所以破壞或者繞過CSP,便可以竊取用戶敏感信息比如支付密碼等。

這無疑給網(wǎng)站用戶的信息安全帶來很大的風(fēng)險(xiǎn)。

該漏洞在Chrome瀏覽器中存在超過一年了,目前該漏洞已經(jīng)修復(fù)。

但是該漏洞的后續(xù)影響尚不明確,一旦遭到利用,用戶數(shù)據(jù)遭竊取用于非法途徑,后果將不堪設(shè)想。

在報(bào)告中還可以看到安全研究人員測(cè)試瀏覽器或者網(wǎng)站是否容易受到該漏洞影響的過程,創(chuàng)建一個(gè)簡(jiǎn)單的腳本,當(dāng)通過devtools控制臺(tái)執(zhí)行該腳本時(shí),可以測(cè)試所有這些網(wǎng)站,該腳本將立即通知當(dāng)前的瀏覽器/網(wǎng)站是否由于CSP/Old Chrome配置錯(cuò)誤而受到CVE-2020-6519的攻擊。

以下以測(cè)試后的三種結(jié)果:(1) 瀏覽器和網(wǎng)站容易受到攻擊:(2) 瀏覽器易受攻擊,但網(wǎng)站不易受攻擊::(3) 瀏覽器不容易受到攻擊::因此,用戶可從以下幾個(gè)方面做好安全防護(hù)措施:確保CSP策略定義正確。

考慮添加其他安全性層,例如nonces或hashs,這將需要在一些服務(wù)器端實(shí)現(xiàn)僅CSP對(duì)大多數(shù)網(wǎng)站而言還不夠,因此,請(qǐng)考慮添加其他安全層。

考慮基于JavaScript的影子代碼檢測(cè)和監(jiān)視,以實(shí)時(shí)緩解網(wǎng)頁(yè)代碼注入確保Chrome瀏覽器版本為84或更高版本。


  • 上一篇:服務(wù)器虛擬化適合企業(yè)的業(yè)務(wù)嗎?
  • 下一篇:半虛擬化如何提高服務(wù)器性能
  • Copyright © 2021 深圳市維創(chuàng)信息技術(shù)有限公司 版權(quán)所有

    粵ICP備2021016007號(hào)

    主站蜘蛛池模板: 男女性爱网站 | 无套大战白嫩丰满少妇在线播放 | 日韩精品 欧美 | 丰满人妻中伦妇伦精品久久 | 欧美成人3D动漫A片 中年熟女高潮受不了 | 日韩成人一级片 | 99偷拍 | 女人高潮抽搐潮喷流白浆视频 | 国产第一A片成人网站777 | 兄妹乱啪啪AV | 在线看国产 | 91人妻人人做人人爽蜜臀 | 波多野结衣在线观看中文字幕 | 视频 岛国 乱伦 传媒 | 国产成人高清 | 精品无码久久久久久久久借妻 | 日韩午夜片 | 三级无码A片 | 人妻少妇乱子伦精品无码专区电影 | 笫九影院午夜理论 | 91 国产丝袜在线观看竹菊 | 日本乱伦三级电影中文字幕 | 久久久久久无码精 | 成人网站无码 | 三级在线观看国产三级在线观看黄 | 日本wwwww色高清片 | 国产A V免费视频 | 久久五月激情综合 | 日韩高潮抽搐晕厥视频网站 | 免费男人午夜暴力内射 | 国产麻豆毛片 | 国产精品中文字幕播放器良家 | 日皮在线观看视频 | 亚洲av资源 | hscK123无码AV在线| 国产精品午夜影院 | 在线无码精品秘 入口快色黑人 | 国产一区在线不卡 | 91麻豆精品A片国产在线观看 | 欧美国产日韩污污 | 全国最黄色A片视频 |