Tom Van Goethem – PhD, науковий співробітник університету Лювен у Бельгії. 

Том спеціалізується на виявленні side-channel атак на вебплатформах; проводить масштабні експерименти, аналізує ефективні методи безпеки у веб та демістифікує голослівні заяви про веб-безпеку.

Більшість розробників знають про уразливості безпеки XSS (міжсайтовий скриптинг), CSRF (підробка міжсайтових запитів) або SQL-ін’єкції. Однак браузери та програми стають все складнішими, з’являються нові види вразливостей. На противагу XSS, CSRF та SQL-ін’єкціям, XSLeaks приділялося недостатньо уваги, що й призводить до витоку інформації користувачів.

Що таке XSLeaks? 

XSLeaks – клас вразливостей, коли сторонній шкідливий веб-сайт може надсилати запити або перенаправляти користувачів цільовим службам, а потім вимірювати сигнали з побічних каналів: час відповіді, кеш статичних ресурсів у браузері, код стану відповіді HTTP, вміст відповіді тощо; виводити та збирати інформацію про користувачів на основі таких сигналів з побічних каналів.

Простою мовою, ідея в тому, що браузер та сайти зливають купу інформації про користувача через сторонні сайти навіть того не підозрюючи. 

При оптимальних умовах зловмисник використовує таку атаку щоб отримати інформацію про користувача на веб-сайті з декількох джерел.

Тобто, якщо знати, на що дивитися, можна дізнатися багато “цікавих” подробиць про користувача веб-сайту.

Сайти та веб-додатки зазвичай влаштовані так, що відкривають багато “кінцевих точок” (endpoints), які розкривають конфіденційні дані про користувачів, а реалізація браузерів робить ці сайти легко вразливими до атак XSLeak. На щастя, уразливості XSLeak відстежують виробники браузерів, і є механізми, щоб їм запобігти.

Разом з Tom Van Goethem на NoNameCon 2020 ми поговоримо саме про XSLeaks. 

Ви дізнаєтесь:

  • як зловмисник може використовувати вразливості XSLeaks, щоб отримати особисту інформацію користувача; 
  • порівняти XSLeaks-атаки та переконатися, що вони значно перевершують класичні XSS та SQLi з точки зору швидкості, надійності та точності; 
  • чого нам чекати від XSLeaks найближчим часом.

Share via
Copy link
Powered by Social Snap