1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Эксплойт HTML5 Fullscreen API - мощное оружие фишеров

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 10 окт 2012.

  1. Severnyj

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.447
    Симпатии:
    9.210
    Студент из Стэнфордского университета, исследователь в области информационной безопасности и веб-дизайнер Феросс Абухадиех создал великолепную демонстрацию, как можно осуществить фишинговую атаку за счёт эксплойта HTML5 Fullscreen API.

    Суть в том, что HTML5 Fullscreen API позволяет инициировать принудительный переход браузера в полноэкранный режим. Таким образом, вредоносный фишинговый сайт может переключить браузер в полноэкранный режим и отрисовать в верхней части сайта интерфейс браузера пользователя с произвольным URL, со значком защищённого соединения. Средства HTML5 позволяют даже использовать эту картинку как настоящую адресную строку, реагировать на наведение курсора мыши, вводить адрес, нажимать кнопки и т.д.

    [​IMG]

    По консервативной оценке автора, 10% пользователей не обратят внимание на сообщение о том, что браузер перешёл в полноэкранный режим и на изменения в интерфейсе, такие как пропавшие закладки, пользовательские меню и другие нестандартные настраиваемые элементы UI. Однако, у многих пользователей отсутствуют какие-либо уникальные элементы UI. Они пользуются стандартным интерфейсом.


    Для многих пользователей переход браузера в полноэкранный режим не является признаком опасности: они привыкли к такому поведению браузера на Facebook и Youtube, поэтому могут не обратить внимание на соответствующее предупреждение. Оценку в 10% можно назвать весьма консервативной, и количество невнимательных пользователей гораздо больше 10%, так что эффективность подобной атаки может оказаться весьма высокой.

    Кстати, в 2004 году похожая уязвимость с возможностью создания полноэкранных всплывающих окон через window.createPopup() была исправлена в браузере IE.

    Источник
     
    6 пользователям это понравилось.
Загрузка...
Похожие темы - Эксплойт HTML5 Fullscreen
  1. Severnyj
    Ответов:
    0
    Просмотров:
    509
  2. shestale
    Ответов:
    4
    Просмотров:
    782
  3. Mila
    Ответов:
    0
    Просмотров:
    1.007
  4. Severnyj
    Ответов:
    0
    Просмотров:
    833
  5. Severnyj
    Ответов:
    0
    Просмотров:
    786
  6. Severnyj
    Ответов:
    0
    Просмотров:
    918

Поделиться этой страницей

Загрузка...