據BleepingComputer消息，近日，波鴻魯爾大學 (RUB) 和 Niederrhein 應用科學大學的安全研究人員發現了14種針對網絡瀏覽器的新型“XS-Leak”跨站點泄漏攻擊，包括谷歌、微軟、蘋果和火狐等主流瀏覽器都受到影響。

[[438865]]

XS-Leaks攻擊的原理是，攻擊者可以繞過Web 瀏覽器中的同源策略，惡意網站借此隱藏在可信的網站背后，這樣就可以竊取用戶輸入的各類信息。例如，XS-Leak攻擊可以讓惡意網站藏在后臺，從郵件網站中竊取電子郵件收件箱的內容。

眾所周知，跨站點泄漏攻擊并不是一個新的概念。2019年，德國達姆施塔特工業大學的研究員在Facebook、推特和 Microsoft Live 等流行的消息和社交媒體平臺的圖像分享特性中發現了一個 XSLeak 信道。

從本質上來看看，當用戶在私密聊天線程中上傳圖像后，主機服務會為該資源創建一個唯一的 URL，僅供線程內的各方訪問。攻擊者可濫用該機制為目標用戶創建一個唯一的URL，之后強制訪客的瀏覽器訪問另外一個網站請求相同的URL。

也正如安全人員所說的那樣，并非所有的泄露攻擊都可以識別、歸類為XS 泄漏。為此安全研究人員想要更加系統的搜集新的XS-Leaks攻擊，評估這些攻擊的緩解措施是否有效，以便可以更好地幫助企業做好安全防護。

尋找新的XS-Leaks

為了更好地尋找新的XS-Leaks攻擊，安全研究人員首先確定了跨站點泄漏攻擊的三個特征：包含方法、泄漏技術和可檢測的差異，并評估了大量Web瀏覽器的三大特征。

在基于上述要素創建模型后，研究人員發現了 34 個XS-Leaks攻擊，其中 14 個是新型的攻擊(如下圖用加號標記)。

緊接著，安全研究人員對當下使用的56 種瀏覽器和操作系統組合，測試了34種XS-Leak攻擊，以確定每個組合的脆弱性，并構建了一個名為 XSinator 的 Web 應用程序，由以下三部分組成：

• 一個用來測試的站點，以此測試已知和新型的X-Leaks;
• 一個易受攻擊的Web 應用程序，用來模擬資源在各狀態下的行為;
• 一個包含所有先前測試結果的數據庫。

這樣的話，安全研究人員可以訪問XSinator頁面，并運行測試，查看瀏覽器和操作系統在XS-Leaks方面的安全性。

為了方便查找，安全研究人員列舉了各種瀏覽器易受攻擊的 XS 泄漏的完整列表：

如何防御

針對以上這些問題，瀏覽器開發人員該如何緩解或解決這些側信道攻擊帶來的風險?

研究人員建議，應拒絕所有的事件處理器信息，盡量減少錯誤信息的發生，應用全局限制，并在重定向發生時創建一個新的歷史屬性。

還有一個有效緩解攻擊的辦法是使用X-Frame-Options來阻止iframe加載HTML 資源，并實現CORP標頭來控制頁面是否可以嵌入資源。

參與此次研究的Lukas Knittel表示，“根據網站的不同，XS-Leaks攻擊會對用戶產生不同的影響。用戶可以使用最新的瀏覽器，通過禁用第三方cookie來防御大多數的XS-Leaks，這樣的話即使網站沒有更新的緩解措施，也會有一定的效果。”

同時安全研究人員還表示，目前已經將所有發現的問題反饋給各瀏覽器開發團隊，開發商目前正在嘗試解決這些問題。因此，這些問題應該可以在當前可用的版本中進行修復。

值得一提的是，未來隨著新的瀏覽器功能的增加，必定也會產生新的潛在的XS-Leak攻擊，因此安全研究人員將持續進行關注，他們可能會進一步開發出相應的網站掃描工具。

參考來源：

https://www.bleepingcomputer.com/news/security/researchers-discover-14-new-data-stealing-web-browser-attacks/