MouseOverJacking атаки

22:43 17.12.2008

Розповім вам про новий вид атак на веб браузери - MouseOverJacking, розроблений мною у вересні. Дані атаки можуть застосовуватися для використання різних уразливостей в браузерах чи веб сайтах, там де потрібне наведення курсором миші на об’єкт. І відповідно за допомогою техніки MouseOverJacking можна перехопити курсор і провести атаку.

Деякий час тому була оприлюднена техніка атак під назвою ClickJacking, про яку я ще розповім окремо. MouseOverJacking - це більш гарна техніка ніж ClickJacking. Якщо в ClickJacking жерта повинна зробити клік, то в MouseOverJacking жоден клік не потрібен, тільки переміщення мишею ;-) . Лише переміщення на один піксел в будь-яку сторону - і це запустить атаку. На початку вересня я приводив приклад MouseOverJacking стосовно DoS уразливості в Google Chrome.

Це повідомлення є анонсом MouseOverJacking. З часом я оприлюдню детальну інформацію про дану техніку атак.


4 відповідей на “MouseOverJacking атаки”

  1. trovich каже:

    Пам’ятаю ту проблему в Хромі :)
    Строго кажучи, з точи зору JS немає принципової різниці між hover та клік. Всього лиш події, тому й однаково вразливі з технічної точки зору.
    Звісно, що з точки зору користувача є суттєва різниця, тому буде цікаво почитати дослідження.

  2. MustLive каже:

    Так, з точки зору атаки на користувача наведення є більш ефективне ніж клік. Бо не треба буде жерту змушувати клікати по об’єкту, достатньо лише навести курсор і атака відбудеться. А навести курсор можна навіть випадково :-) , а при використанні іфреймів можна підняти ефективність MouseOverJacking атак до 100%.

    Так що Інтернет користувачам тепер потрібно остерігатися не тільки зайвих кліків, але й навіть зайвих рухів курсором ;-) .

  3. trovich каже:

    Відчуваю такими темпами скоро буде вхід в інтернет тільки по пропусках :)

  4. MustLive каже:

    Цілком можливо. А якщо у якогось веб сайта виникне підозра щодо користувача - то він прийме його за бота :-) .

Leave a Reply

You must be logged in to post a comment.