Cross-Site Tracing – nowa metoda ataku!
Firma WhiteHat Security poinformowała o poważnym błędzie w jednym z podstawowych protokołów Sieci. Usterka potencjalnie zagraża milionom internautów, wszelkim serwisom, a zwłaszcza prowadzonym przez nie transakcjom finansowym. Odkrytą niedawno nową formę ataku nazwano – XST (Cross-Site Tracing).
Korzystając z niej można użyć programu np. w języku JavaScript, VBScript, a nawet odpowiedniej animacji we Flashu do zdobycia internetowego identyfikatora i hasła ofiary, niezależnie od jakości zabezpieczeń (jak SSL) chroniących dany serwis.
Wspomniana technika, korzystająca z obsługiwanego przez protokół HTTP wywołania TRACE, pozwala na podejrzenie niezaszyfrowanej wymiany informacji między komputerem danej osoby a serwerem. Serwery, z reguły odpowiadające na to polecenie, przesyłają pytającemu nagłówek zawierający cenne dla cyberzłodzieja informacje – wystarczy je odpowiednio przetworzyć za pomocą skryptu.
Jak informują autorzy raportu, do rozpoczęcia ataku wystarczy przeczytanie przez ofiarę – często niezależnie od rodzaju stosowanego przez nią oprogramowania – odpowiednio spreparowanego e-maila lub obejrzenie strony WWW. Zalecają oni administratorom serwerów, by wyłączyli obsługę wspomnianego wywołania.
Źródło: newsroom.chip.pl, ExtremeTech