CSS код может использоваться для кражи данных пользователей

image

Теги: CSS, хищение данных

Исследователи описали ряд техник, позволяющих отследить пользователей на web-сайтах и украсть данные с интернет-страниц.

За прошедший месяц исследователи в области кибербезопасности продемонстрировали ряд техник, предполагающих использование CSS кода для различных целей, например, отслеживания пользователей на web-сайтах, извлечения и кражи данных с web-страниц, сбора информации, введенной в поля форм (включая пароли) и деанонимизации пользователей Tor.

В частности, немецкий исследователь Ян Бемер (Jan Böhmer) разработал технику, позволяющую следить за рядом действий посетителей сайтов без использования JavaScript. Для реализации метода требуется только CSS. Он позволяет узнать базовую информацию о посетителе, в том числе разрешение экрана устройства, используемый браузер, ссылки, по которым был осуществлен переход, элементы, на которые наводится мышь, системные шрифты.

На минувших выходных независимый исследователь Дилан Эйри (Dylan Ayrey) опубликовал работу, в которой описал , как злоумышленник может использовать CSS код для хищения CSRF-токенов для аутентификации. Метод работает только на сайтах и в приложениях, которые хранят CSRF-токены в атрибутах различных HTML-элементов, поэтому владельцы сайтов/приложений могут легко предотвратить атаку, используя более надежные методы аутентификации. Техника, предложенная Эйри, основана на внедрении CSS-кода и использовании селекторов атрибутов для определения CSRF-токенов.

Исследователь Майк Гуалтьери (Mike Gualtieri) пошел еще дальше. Он разработал похожую технику, получившую название CSS Exfil, которая позволяет похитить важные пользовательские данные (в том числе пароли), указанные в полях форм. Как и метод Эйри, его атака базируется на внедрении CSS-кода и использовании CSS-селекторов. По словам Гуалтьери, с помощью CSS-кода атакующий может получить полный контроль над web-страницей.

В качестве меры защиты от атаки CSS Exfil Гуалтьери предлагает владельцам сайтов настроить механизм Content Security Policy (CSP, политика защиты контента), который предотвратит загрузку CSS-кода из внешних источников.

CSS (Cascading Style Sheets, каскадные таблицы стилей) - технология описания внешнего вида документа, оформленного языком разметки. Преимущественно используется как средство оформления web-страниц в формате HTML и XHTML, но может применяться с любыми видами документов в формате XML, включая SVG и XUL.

CSS-селектор - часть CSS-правила, которая сообщает браузеру, к какому элементу (или элементам) web-страницы будет применен стиль.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.