www.anti-virus.by  / пресс-центр / новости иб ENGНа главнуюНаписать письмоПоискКарта сайта
 ВирусБлокАда 
ПОИСК ПО САЙТУ
Перейти к просмотру корзины В корзине:
0 прод.
 
 
 

НОВОСТИ ИБ

 

2 марта 2017

Новый вектор атаки позволяет получить доступ к персональным данным

Кэширующие серверы, используемые крупными online-сервисами, часто сохраняют некорректный контент страницы.

Специалист по информационной безопасности из Израиля Омер Гиль (Omer Gil) выявил новый метод, позволяющий получить доступ к скрытым персональным данным пользователей. Дело в том, что кэширующие серверы, используемые крупными online-сервисами, часто сохраняют некорректный контент страницы, в том числе персональную информацию, когда пользователь пытается посетить несуществующий ресурс.

Как выяснил Гиль, данная проблема, получившая название Web Cache deception attack (примерно переводится как «обманная атака на web-кэш»), затрагивает web-сайты трех крупных компаний, одна из которых PayPal. По словам исследователя, проблема, скорее всего, распространяется и на другие online-сервисы, хотя соответствующее исследование он не проводил.

Атака основана на том, как серверы кэшируют страницы. Некоторые из них сохраняют страницы с разным объемом персональных данных. Как правило, эти страницы недоступны неавторизованным пользователям. Специалист пояснил принцип действия метода на примере PayPal.

Если пользователь перейдет по ссылке на несуществующий ресурс, сервер PayPal создаст соответствующий кэш URL. Например, при переходе по ссылке https://www.paypal.com/myaccount/home/attack.css будет создан кэш https://www.paypal.com/myaccount/home/. В данном примере кэшированная страница будет содержать такие сведения, как баланс счета, данные транзакций, адрес электронной почты, последние четыре цифры дебетовой\кредитной карты и, возможно, другую информацию. Для того чтобы похитить данные, атакующему потребуется только перейти по тому же специально сформированному URL и получить доступ к кэшированной странице.

По словам Гиля, атака не ограничена только определенными типами файлов, такими как JS или CSS. Злоумышленники могут использовать более 40 форматов - от популярных AVI, DOC и JPEG до CCT или AIFF.

В качестве подтверждения исследователь опубликовал ряд видео с демонстрацией атаки.

Источник


Все новости | Январь 2018 | Декабрь 2017 | Ноябрь 2017 | Октябрь 2017 | Сентябрь 2017 | Август 2017 | Июль 2017 | Июнь 2017 | Май 2017 | Апрель 2017 | Март 2017 | Февраль 2017 | Август 2014 | Март 2014 | Февраль 2014 | Январь 2014 | Декабрь 2013 | Ноябрь 2013 | Октябрь 2013 | Сентябрь 2013 | Январь 2013 | Декабрь 2012 | Ноябрь 2012 | Октябрь 2012 | Сентябрь 2012 | Август 2012 | Июль 2012 | Июнь 2012 | Май 2012 | Апрель 2012 | Март 2012 | Февраль 2012 | Январь 2012 | Декабрь 2011 | Ноябрь 2011 | Октябрь 2011 | Сентябрь 2011 | Август 2011 | Июль 2011 | Июнь 2011 | Май 2011 | Сентябрь 2010 | Август 2010 | Июль 2010 | Июнь 2010 | Май 2010 | Апрель 2010 | Март 2010 | Февраль 2010 | Январь 2010 | Декабрь 2009 | Ноябрь 2009 | Октябрь 2009 | Сентябрь 2009 | Август 2009 | Июль 2009 | Июнь 2009 | Май 2009 | Апрель 2009 | Март 2009 | Февраль 2009 | Январь 2009 | Декабрь 2008 | Ноябрь 2008 | Октябрь 2008 | Сентябрь 2008 | Август 2008 | Июль 2008 | Июнь 2008 | Май 2008 | Апрель 2008 | Март 2008 | Февраль 2008 | Январь 2008 | Декабрь 2007 | Ноябрь 2007 | Октябрь 2007 | Сентябрь 2007 | Август 2007 | Июль 2007 | Июнь 2007 | Май 2007 | Апрель 2007 | Март 2007 | Февраль 2007 | Январь 2007 | Ноябрь 2006 | Октябрь 2006 | Сентябрь 2006 | Август 2006 | Июль 2006 | Июнь 2006 | Май 2006 | Апрель 2006 | Март 2006 | Февраль 2006 | Январь 2006 | Декабрь 2005 | Ноябрь 2005 | Октябрь 2005 | Сентябрь 2005 | Август 2005 | Июль 2005 | Июнь 2005 | Май 2005 | Апрель 2005 | Март 2005 | Апрель 2004 | Март 2004 | Февраль 2004
 
КОНТАКТЫ
220088, РБ, Минск, ул. Смоленская, 15 — 803б
телефон: (+375 17) 294-84-29 (коммерческий отдел)
телефон: (+375 17) 290-59-29 (технический отдел)
E-mail: info@anti-virus.by
Прислать вирус: feedback@anti-virus.by
Для персонального компьютераДля рабочей станции в сетиСредство программное КАНОЭКонсольный сканерДля файловых серверовАвтоматизированное управление и обновлениеЗащита почтовых системЗащита интернет-шлюзовПрограммное средство АркитУтилитыКорзинаКупить
Антивирус
Антивирус на месяцИмпортозамещениеПоддержка образованияПоддержка медициныДисконтная система «Клубная карта ХК «Динамо-Минск»
Основные сведенияБлогЛицензии и сертификатыКлиентыПартнерыУслугиВакансии
Новости компанииПродукты и обновленияНовости ИБПресс-китПодписка на рассылку
БеларусьУкраинаБолгарияВеликобританияГонконгИранКитайЛатвияПольшаРумынияЯпонияПриглашение к сотрудничеству