Tom Van Goethem – PhD, науковий співробітник університету Лювен у Бельгії.
Том спеціалізується на виявленні side-channel атак на вебплатформах; проводить масштабні експерименти, аналізує ефективні методи безпеки у веб та демістифікує голослівні заяви про веб-безпеку.
Більшість розробників знають про уразливості безпеки XSS (міжсайтовий скриптинг), CSRF (підробка міжсайтових запитів) або SQL-ін’єкції. Однак браузери та програми стають все складнішими, з’являються нові види вразливостей. На противагу XSS, CSRF та SQL-ін’єкціям, XSLeaks приділялося недостатньо уваги, що й призводить до витоку інформації користувачів.
Що таке XSLeaks?
XSLeaks – клас вразливостей, коли сторонній шкідливий веб-сайт може надсилати запити або перенаправляти користувачів цільовим службам, а потім вимірювати сигнали з побічних каналів: час відповіді, кеш статичних ресурсів у браузері, код стану відповіді HTTP, вміст відповіді тощо; виводити та збирати інформацію про користувачів на основі таких сигналів з побічних каналів.
Простою мовою, ідея в тому, що браузер та сайти зливають купу інформації про користувача через сторонні сайти навіть того не підозрюючи.
При оптимальних умовах зловмисник використовує таку атаку щоб отримати інформацію про користувача на веб-сайті з декількох джерел.
Тобто, якщо знати, на що дивитися, можна дізнатися багато “цікавих” подробиць про користувача веб-сайту.
Сайти та веб-додатки зазвичай влаштовані так, що відкривають багато “кінцевих точок” (endpoints), які розкривають конфіденційні дані про користувачів, а реалізація браузерів робить ці сайти легко вразливими до атак XSLeak. На щастя, уразливості XSLeak відстежують виробники браузерів, і є механізми, щоб їм запобігти.
Разом з Tom Van Goethem на NoNameCon 2020 ми поговоримо саме про XSLeaks.
Ви дізнаєтесь:
- як зловмисник може використовувати вразливості XSLeaks, щоб отримати особисту інформацію користувача;
- порівняти XSLeaks-атаки та переконатися, що вони значно перевершують класичні XSS та SQLi з точки зору швидкості, надійності та точності;
- чого нам чекати від XSLeaks найближчим часом.