Cross-Site WebSocket Hijacking sérülékenység javítása, megelőzése
Mi az a Cross-Site WebSocket Hijacking sérülékenység, támadás?
Cross-Site WebSocket Hijacking sérülékenység kihasználása során a kibertámadó a célpont felhasználó egyik aktív bejelentkezési munkamenetét használja fel arra, hogy a sérülékeny webalkalmazás valamilyen funkcióját felparaméterezze és aktiválja, méghozzá a célpont felhasználó böngészőjében és annak nevében.
Ezt jellemzően valamilyen támadó kódot és a sérülékeny webalkalmazással WebSocket-kapcsolat felépítésére alkalmas kódot tartalmazó weboldal létrehozásával és célpontnak való elküldésével és megnyittatásával éri el.
Például: A Cross-Site WebSocket Hijacking módszerrel támadható webes szolgáltatás nemcsak azokat a feladatokat végzi el, amiket a bejelentkezett felhasználó vagy adminisztrátor a hivatalos felületen ad ki a kiszolgálónak, hanem azokat is, amiket egyéb támadói forrásból, például egy hamis webes űrlaptól, URL-betöltéstől vagy dinamikus kódtól kap. Ide tartozik a szenzitív információk szivárogtatása is.
Mi a Cross-Site WebSocket Hijacking sérülékenység kockázata?
Ha a webes szolgáltatás nem kezeli és korlátozza megfelelően a felé irányuló kéréseket, akkor olyan kódok futhatnak le az áldozat(ok) böngészőjében, amik lopásra, adathalászatra, dezinformáció terjesztésére és akár szerver- és kliensoldali manipulációra is használhatók.
Hogyan javítható és előzhető meg a Cross-Site WebSocket Hijacking sérülékenység?
- Token generálása, kiszolgálókérésben való elhelyezése, kiszolgálóoldali ellenőrzése
- Munkamenet-azonosítók kiszolgálóoldali generálása, kliensoldali integrációja, és kiszolgálóoldali ellenőrzése
- Beviteli adatok kiszolgálóoldali ellenőrzése
- Origin HTTP-fejléc ellenőrzése
Hogyan ellenőrizhető a Cross-Site WebSocket Hijacking sérülékenység jelenléte?
- Sérülékenységvizsgálat szolgáltatás igénylésével
- Manuális vizsgálatokkal, amely során speciális HTML-lapokkal próbáljuk az érintett funkciókat működésbe hozni
Kapcsolódó weboldalak
Kapcsolódó szolgáltatások és termékek
Sérülékenységvizsgálat és penetrációs teszt szolgáltatásHírek, események, termékek és riasztások
Hírek, események, termékek és riasztások
Iratkozzon fel hírlevelünkre és ne maradjon le a legfontosabb kiberbiztonsági hírekről, eseményekről, termékekről és riasztásokról!