forum.opennet.ru

Составление сообщения

Исходное сообщение

"Возможность выполнения JavaScript в обход ограничений NoScript"
Отправлено opennews, 01-Июл-15 19:48

В популярном дополнении NoScript, используемом для блокирования выполнения нежелательного JavaScript-кода, выявлена (http://labs.detectify.com/post/122837757551/using-google-clo...) недоработка, которая позволяет организовать выполнение произвольного JavaScript-кода под прикрытием белого списка. NoScript по умолчанию разрешает выполнение скриптов, загруженных с доверительных ресурсов, помещённых в белый список. В список заслуживающих доверия ресурсов входит и домен googleapis.com, который используется не только для ресурсов Google, но и в работе публичных сервисов.

Для запуска своего JavaScript в обход NoScript атакующий может создать скрипт, разместив его в Google Cloud и установив прямую ссылку на storage.googleapis.com. Продолжив изучение белого списка исследователи пришли к выводу, что это не единичный случай. Например, присуствующий в белом списке домен zendcdn.net был освобождён и его удалось купить (http://thehackerblog.com/the-noscript-misnomer-why-should-i-.../) всего за 10 долларов. Обеспокоенным безопасностью пользователям рекомендуется очистить белый список NoScript (Options > Whitelist).
URL: http://www.theregister.co.uk/2015/07/01/noscript_bypass/
Новость: http://www.opennet.ru/opennews/art.shtml?num=42548

Исходное сообщение
"Возможность выполнения JavaScript в обход ограничений NoScript" Отправлено opennews, 01-Июл-15 19:48
В популярном дополнении NoScript, используемом для блокирования выполнения нежелательного JavaScript-кода, выявлена (http://labs.detectify.com/post/122837757551/using-google-clo...) недоработка, которая позволяет организовать выполнение произвольного JavaScript-кода под прикрытием белого списка. NoScript по умолчанию разрешает выполнение скриптов, загруженных с доверительных ресурсов, помещённых в белый список. В список заслуживающих доверия ресурсов входит и домен googleapis.com, который используется не только для ресурсов Google, но и в работе публичных сервисов. Для запуска своего JavaScript в обход NoScript атакующий может создать скрипт, разместив его в Google Cloud и установив прямую ссылку на storage.googleapis.com. Продолжив изучение белого списка исследователи пришли к выводу, что это не единичный случай. Например, присуствующий в белом списке домен zendcdn.net был освобождён и его удалось купить (http://thehackerblog.com/the-noscript-misnomer-why-should-i-.../) всего за 10 долларов. Обеспокоенным безопасностью пользователям рекомендуется очистить белый список NoScript (Options > Whitelist). URL: http://www.theregister.co.uk/2015/07/01/noscript_bypass/ Новость: http://www.opennet.ru/opennews/art.shtml?num=42548

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> В популярном дополнении NoScript, используемом для блокирования выполнения нежелательного 
> JavaScript-кода,  выявлена (http://labs.detectify.com/post/122837757551/using-google-cloud-to-bypass-noscript) 
> недоработка, которая позволяет организовать выполнение произвольного JavaScript-кода 
> под прикрытием белого списка. NoScript  по умолчанию разрешает выполнение скриптов, 
> загруженных с доверительных ресурсов, помещённых в белый список. В список заслуживающих 
> доверия ресурсов входит и домен googleapis.com, который используется не только для 
> ресурсов Google, но и в работе публичных сервисов.

> Для запуска своего JavaScript в обход NoScript атакующий может создать скрипт, разместив 
> его в Google Cloud и установив прямую ссылку на storage.googleapis.com. Продолжив 
> изучение белого списка исследователи пришли к выводу, что это не единичный 
> случай. Например, присуствующий в белом списке домен zendcdn.net был освобождён и 
> его удалось купить (http://thehackerblog.com/the-noscript-misnomer-why-should-i-trust-vjs-zendcdn-net/) 
> всего за 10 долларов. Обеспокоенным безопасностью пользователям рекомендуется очистить 
> белый список NoScript (Options > Whitelist).

> URL: http://www.theregister.co.uk/2015/07/01/noscript_bypass/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=42548

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру