5 Февраля, 2015

XSS в IE с демонстрацией на сайте fbi.gov

Валерий Марчук

Итак, сегодня всем нам стало известно об уязвимости в Microsoft Internet Explorer. Сама по себе уязвимость довольно опасна, потому что позволяет выполнить произвольный HTML и JavaScript в обход политики единства происхождения на любом сайте.

В следующем виде я покажу на примере сайта ФБР, как может обывательский хакер осуществить атаку на их пользователя.


Как мы видели, в появившемся окне сначала открылось окно сайта ФБР, а затем весь контент был заменен на фразу «Hacked by TeckLord». Вместо этой фразы можно вывести окно авторизации или любой другой контент, компрометирующий пользователя или сам сайт. 

Как защищаться?

Запретить сторонние iframe. Это можно сделать с помощью опции заголовка X-Frame-Options, отправляемого web-сервером.


Для Apache настройка в .htaccess будет выглядеть так:


Header always append X-Frame-Options SAMEORIGIN


Для nginx:


add_header X-Frame-Options SAMEORIGIN;


Для IIS:


<system.webServer>
  ...
  <httpProtocol>
    <customHeaders>
<add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>
  ...
</system.webServer>

Хорошего дня!