ה מיקרוסופט אדג נראה כי לדפדפן יש פגיעות סיסמא קשה. דיווחים אחרונים מגלים שתוקפים או האקרים יכולים להשיג בקלות סיסמת משתמש וקבצי עוגיות לחשבונות מקוונים, פגיעות זה התגלה על ידי מומחה האבטחה מנואל קבאלרו, מישהו עם ניסיון רב בחשיפת באגים של Edge ו- Internet Explorer פגמים.
תוקפים יכולים לעקוף את הגנת ה- SOP של Edge
הפגיעות מאפשרת לתוקף לטעון ולבצע קוד זדוני באמצעות URIs נתונים, תג רענון מטא ודפים ללא תחום כגון בערך: ריק. לטכניקת הניצול הזו יש וריאציות רבות ו Caballero הראה את הדרכים בהן האקר יכול לבצע קוד באתרים בעלי פרופיל גבוה רק על ידי הטעיית משתמשים לגשת לכתובת אתר זדונית.
קבאלרו הראה שלוש הדגמות בהן הוא ביצע קוד ב- דף הבית של בינג, צייץ בשמו של משתמש אחר, וגנב את הסיסמה וקובצי העוגיה מ- חשבון טוויטר.
המתקפה האחרונה חשפה מחדש שגיאת אבטחה בעיצוב הדפדפנים המודרניים: יכולתו של ההאקר התנתק מהמשתמש, טען דף כניסה וגנוב את אישורי המשתמש שמילא באופן אוטומטי על ידי של הדפדפן מילוי אוטומטי באמצעות סיסמה תכונה.
הפגיעות עדיין לא תוקנה. מסיבה זו, Caballero סיפקה הדגמות להורדה כדי שמשתמשים יוכלו לבדוק את קוד המקור ולוודא שהסיסמאות והעוגיות שלהם לא מועלות בשום מקום.
התקפות מתבצעות באופן אוטומטי על ידי פגיעה ברוטו
נראה גם שניתן להתאים התקפות בכדי לזרוק את הסיסמאות או העוגיות של שירותים מקוונים נוספים כגון אֲמָזוֹנָה, פייסבוק, ועוד. רק קָצֶה מושפע כי “עקיפות UXSS / SOP נוטות להיות ספציפיות לכל דפדפן.”
מודעות מודרניות מוצגות קוד JavaScript לדפדפנים וזו הסיבה שתוקפים יכולים להקל על קמפיינים לא רלוונטיים כדי להפוך את הנצל הזה לאוטומטי לכמות גדולה של קורבנות.
לקבלת מידע נוסף, אתה יכול קרא את התיאור הטכני של קבאלרו של הגיליון.
סיפורים קשורים לבדיקה:
- זו הסיבה שהגרסה החדשה של Microsoft Edge לא מרשימה את המשתמשים
- אפשר מסך מלא ב- Microsoft Edge עם פקודה פשוטה זו
- התקרב ל- Microsoft Edge עם התוסף החדש הזה
