Создание скриншотов окна браузера с помощью HTML5 и XSS

image

Теги: HTML5, XSS, новость

Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.

С появлением HTML5, XSS уязвимости становятся более опасными. Теперь злоумышленник может не только похитить учетные данные пользователя, но и создать скриншот окна браузера и получить данные, к которым у него ранее не было доступа. С помощью XSS можно просмотреть скриншот административной страницы приложения или скопировать личные данные пользователя. Все зависит от сайта, на котором обнаружена уязвимость. Исследователь под ником Phil опубликовал PoC код, демонстрирующий впечатляющие возможности HTML5 и XSS.

Атака строится на использовании HTML5 Canvas – функционала, позволяющего с легкостью создавать скриншоты окна браузера, и технологии Ajax для передачи данных на сервер, контролируемый злоумышленником.

Что касается политик единства происхождения, которые могут воспрепятствовать передаче данных, сценарий, который создал Phil, использует прокси для получения доступа к внешним ресурсам за пределами домена.

Следующий пример демонстрирует возможности HTML5:

Демонстрационный код с описанием работы сценариев доступен на сайте idontplaydarts.com


или введите имя

CAPTCHA
03820
28-04-2012 11:16:42
Не работает.
0 |
жук
28-04-2012 11:37:42
еще как работает. ручки выпрямляем )
0 |
72254
28-04-2012 12:28:05
Не работает, FF10 Настройки менял давно и слегка, преднамеренно ничего не отключал, gfx.canvas.azure.enabled=true. "Легальные" анонимные скриншоты делаются на отлично. http://html2canvas.hertzen.com/screenshots.html
0 |
аноним Максим =)))
09-10-2012 10:47:38
0 |