Создание скриншотов окна браузера с помощью HTML5 и XSS

Создание скриншотов окна браузера с помощью HTML5 и XSS

Демонстрация PoC кода для создания скриншотов с использованием XSS уязвимости и возможноcтей HTML5.

С появлением HTML5, XSS уязвимости становятся более опасными. Теперь злоумышленник может не только похитить учетные данные пользователя, но и создать скриншот окна браузера и получить данные, к которым у него ранее не было доступа. С помощью XSS можно просмотреть скриншот административной страницы приложения или скопировать личные данные пользователя. Все зависит от сайта, на котором обнаружена уязвимость . Исследователь под ником Phil опубликовал PoC код, демонстрирующий впечатляющие возможности HTML5 и XSS.

Атака строится на использовании HTML5 Canvas – функционала, позволяющего с легкостью создавать скриншоты окна браузера, и технологии Ajax для передачи данных на сервер, контролируемый злоумышленником.

Что касается политик единства происхождения, которые могут воспрепятствовать передаче данных, сценарий, который создал Phil, использует прокси для получения доступа к внешним ресурсам за пределами домена.

Следующий пример демонстрирует возможности HTML5:

Демонстрационный код с описанием работы сценариев доступен на сайте idontplaydarts.com

Все еще проверяете уязвимости после сборки ПО?

8 июля CICADA8 покажет, как делать это до CI/CD — быстро, чётко, безопасно.

Реклама. 18+. Рекламодатель ООО «АЙТИПИ Сервисы», ИНН 7708719821