211service.com
Projekts, lai apturētu pārlūkprogrammas uzbrukumus
Tā kā lietotāju ģenerēts saturs ir kļuvis populārāks tiešsaistē, vietnes arvien vairāk ir ļāvušas lietotājiem pielāgot, piemēram, savus emuāru komentārus vai ierakstus sociālo tīklu vietnēs, izmantojot HTML kodu. Tomēr tādējādi vietnes tiek atvērtas arī tāda veida uzbrukuma riskam, kas pazīstams kā starpvietņu skriptēšana, kas var ļaut uzbrucējiem nozagt informāciju no lietotājiem, izmantojot uzticamu vietni.
Nākamnedēļ plkst IEEE simpozijs par drošību un privātumu , Oklendā, Kalifornijā, pētnieki no Ilinoisas Universitāte Čikāgā iepazīstinās ar jaunu veidu, kā aizsargāties pret starpvietņu skriptēšanu. Šī pieeja ļauj vietnei kontrolēt, kā lietotāja ģenerēts saturs tiek pārsūtīts uz tīmekļa pārlūkprogrammu, potenciāli neitralizējot starpvietņu skriptu uzbrukumus, pirms tie var sasniegt paredzēto upuri.
Vairāku vietņu skriptēšana ietver lietotāja pārlūkprogrammas likšanu palaist neatļautu skriptu, kas ievadīts kaut kur šķietami uzticamas vietnes lapās. Skripts var ļaut uzbrucējam nozagt lietotāja pieteikšanās akreditācijas datus vai citu sensitīvu informāciju.
Vairāku vietņu skriptēšana ir visizplatītākā ievainojamība internetā, saka Jeremijs Grosmans , dibinātājs un galvenais tehnoloģiju speciālists Baltās cepures drošība , kurš nebija iesaistīts pētījumā. Tas ir sava veida tarakāns šajā nozarē. Grosmans saka, ka jaunākas vietnes ir labāk aprīkotas, lai aizsargātu pret starpvietņu skriptēšanu, taču internetā joprojām ir miljoniem neaizsargātu vietņu. Viņš saka, ka mums ir vajadzīgas alternatīvas koda labošanai.
Ilinoisas Universitātes pētnieki izstrādāja programmatūras slāni, ko sauc par Blueprint, ko tīmekļa izstrādātāji var ievietot starp lietotāju ģenerētajām lapām un pārlūkprogrammu. Pētnieki izstrādāja Blueprint darbam ar astoņām galvenajām pārlūkprogrammām, kas veido vairāk nekā 96 procentus no pašreizējās tirgus daļas, un pārbaudīja sistēmu pret 94 veidu starpvietņu skriptu uzbrukumiem, kas iegūti no interneta krātuves, ko sauc par XSS Cheat Sheet. Viņi atklāja, ka tas veiksmīgi novērsa katru sarakstā iekļauto uzbrukumu.
Blueprint atrodas vietnes serveros, nolasa lietotāja ģenerētu HTML un salīdzina to ar uzticamā koda balto sarakstu. Tas noņem visus potenciāli kaitīgos skriptus un izlemj, kā saturam jāparādās pārlūkprogrammā. Pēc tam tas pārformatē informāciju un pārsūta to uz pārlūkprogrammu. Blueprint nodrošina, piemēram, lai izvairītos no rakstzīmēm un simboliem, kas dažkārt tiek izmantoti, lai nosūtītu nesankcionētus skriptu signālus uz lietotāja pārlūkprogrammu. Pētnieki saka, ka nekaitīgam saturam process nedrīkst tikt ietekmēts.
Problēmas sakne, skaidro V. N. Venkatakrišnans , datorzinātņu docents, kurš bija iesaistīts projektā, apgalvo, ka pārlūkprogrammas sākotnēji tika izstrādātas tā, lai tās nepieļautu slikti uzrakstīto tīmekļa lapas kodu. Viņš saka, ka pārlūkprogrammas cenšas pēc iespējas labāk atveidot jebkāda veida slikti formatētu saturu.
Gadu gaitā dažādas pārlūkprogrammas ir izstrādājušas savus veidus, kā interpretēt slikti formatētu saturu. Uzbrucēji var izmantot šīs priekšrocības, ievietojot HTML, kas darbosies kā skripts pareizajā pārlūkprogrammā. Tas padara HTML satura filtrēšanas problēmu skriptiem ļoti, ļoti sarežģītu, saka Venkatakrishnan. Notiek centieni mainīt pārlūkprogrammu darbību, taču pētnieki norāda, ka tikmēr ir nepieciešams cits risinājums.
Tas, ko mēs vēlamies darīt, ir atņemt pārlūkprogrammas parsētāja iespēju pieņemt jebkādus skripta identifikācijas lēmumus par neuzticamo saturu, ko nodrošina tīmekļa lietojumprogramma, saka Venkatakrišnans.
Roberts Hansens , izpilddirektors un dibinātājs interneta drošības uzņēmumam SecTheory, kas uztur XSS apkrāptu lapu, saka, ka, lai gan Blueprint aizsargā pret lielāko daļu no lielākajiem starpvietņu skriptēšanas draudiem, tas neaptver visus iespējamos draudus. Ir arī citi veidi, kā iegūt saturu atveidot pārlūkprogrammā, un diemžēl tas neaptver nevienu no tiem, viņš saka.
Hansens piebilst, ka pētnieku sistēma aizsargā saturu, iesaiņojot to skriptā, ko meklētājprogrammas nevar nolasīt. Viņš saka, ka tā nav panaceja, taču tā ir galvenā problēma. Hansens saka, ka starpvietņu skriptēšana ir pārāk sarežģīta problēma, lai to apturētu, nemainot pārlūkprogrammas darbību.