安全研究人员Michael Sutton上周三(2月18)在黑帽大会上展示如何利用网站上的跨站脚本攻击(cross-site scripting,XSS)漏洞存取被攻击者计算机中所储存的Google Gears离线资料库。
Sutton对网络浏览器储存功能存在安全风险十分担忧,他表示浏览器的功能已不再是最初简单的浏览需求,而若要使各种应用得以同时在线上与离线时使用,永久的客户端储存功能则是必要的,诸如永久的cookie、闪存与Google Gears等,但大多数的开发人员却不了解相关的安全风险。
Sutton指出,诸如Google Gears或是HTML5规格中的资料库储存功能等浏览器储存解决方案可能因为各式网站上的XSS漏洞而遭到攻击。即使这些浏览器储存解决方案皆已采用适当的安全保护技术,但只要这些技术是被应用于不安全的网站上,这些保护便失去意义。
据悉,Sutton通过利用Paymo.biz上的XSS安全漏洞来示范相关的攻击行动,他可让攻击者用来存取客户端端的Gears离线资料库。
Gears为Google所开发的浏览器外挂程式开发工具,可将线上应用程序转为离线使用,使用者的许多线上资料会因此存在个人电脑端,Google已相继利用该技术推出Google Reader、Google Docs及Gmail离线服务。
不过,Sutton强调,此XSS攻击与Gear的安全性无关,而是因为不安全的网站采用了Gears功能所导致的,并借此呼吁业者要强化网站的安全性。
WhiteHat Security去年的调查,全球有82%的网站至少含有一个安全漏洞。Sutton最后表示,“网络安全的每一个环节是紧密联系在一起,即使使用安全的软件,也可能因为浏览不安全的网站而被攻击。”
(威盾新闻中心提供) |
