MouseOverJacking атаки
22:43 17.12.2008Розповім вам про новий вид атак на веб браузери - MouseOverJacking, розроблений мною у вересні. Дані атаки можуть застосовуватися для використання різних уразливостей в браузерах чи веб сайтах, там де потрібне наведення курсором миші на об’єкт. І відповідно за допомогою техніки MouseOverJacking можна перехопити курсор і провести атаку.
Деякий час тому була оприлюднена техніка атак під назвою ClickJacking, про яку я ще розповім окремо. MouseOverJacking - це більш гарна техніка ніж ClickJacking. Якщо в ClickJacking жерта повинна зробити клік, то в MouseOverJacking жоден клік не потрібен, тільки переміщення мишею 
. Лише переміщення на один піксел в будь-яку сторону - і це запустить атаку. На початку вересня я приводив приклад MouseOverJacking стосовно DoS уразливості в Google Chrome.
Це повідомлення є анонсом MouseOverJacking. З часом я оприлюдню детальну інформацію про дану техніку атак.
П'ятниця, 00:09 19.12.2008
Пам’ятаю ту проблему в Хромі
Строго кажучи, з точи зору JS немає принципової різниці між hover та клік. Всього лиш події, тому й однаково вразливі з технічної точки зору.
Звісно, що з точки зору користувача є суттєва різниця, тому буде цікаво почитати дослідження.
Субота, 19:13 20.12.2008
Так, з точки зору атаки на користувача наведення є більш ефективне ніж клік. Бо не треба буде жерту змушувати клікати по об’єкту, достатньо лише навести курсор і атака відбудеться. А навести курсор можна навіть випадково
, а при використанні іфреймів можна підняти ефективність MouseOverJacking атак до 100%.
Так що Інтернет користувачам тепер потрібно остерігатися не тільки зайвих кліків, але й навіть зайвих рухів курсором
.
Субота, 19:22 20.12.2008
Відчуваю такими темпами скоро буде вхід в інтернет тільки по пропусках
Субота, 23:19 20.12.2008
Цілком можливо. А якщо у якогось веб сайта виникне підозра щодо користувача - то він прийме його за бота
.