Security Lab

XS-Leaks

XS-Leaks (cross-site leaks, межсайтовая утечка) — это тип атаки, нацеленной на встроенные побочные каналы веб-платформы, которая позволяет злоумышленнику обходить политику "Same Origin Policy" (SOP) в веб-браузерах. Атака позволяет хакеру похищать конфиденциальную информацию о пользователе в фоновом режиме из доверенных источников.

XS-Leaks использует небольшие фрагменты информации о пользователе, которые раскрываются во время взаимодействия между веб-сайтами. Сюда входят данные жертвы из других веб-приложений, сведения о её локальной среде или внутренних сетях, к которым подключен пользователь.

XS-Leaks похожа на подделку межсайтовых запросов (CSRF), но отличается от неё тем, что вместо того, чтобы позволять другим веб-сайтам выполнять действия от имени пользователя, XS-Leaks используется для вывода информации о цели.

OpenSea исправила уязвимость, которая раскрывает личность владельца NFT

Уязвимость межсайтового поиска ставит под угрозу доверие пользователей к NFT и OpenSea.

Срываем маски: новая кэш-атака по сторонним каналам позволяет деанонимизировать пользователей

Для проведения атаки достаточно знать электронный адрес жертвы или ее имя на нужном сервисе.

Ученые выявили 14 новых атак для похищения данных из браузера

14 новых атак XS-Leaks эффективны в том числе в отношении Google Chrome, Microsoft Edge, Safari и Mozilla Firefox.

Google запустила базу знаний об уязвимостях XS-Leaks

Сайт XS-Leaks доступен на xsleaks.dev и содержит информацию о причинах, ведущих к межсайтовым утечкам.