• Crackers Usam Âncoras de HTML para Colher Informações Confidenciais

    Um grupo de pesquisadores de segurança da empresa de consultoria Context, demonstrou que as âncoras de HTML podem ser usados ​​por crackers, a fim de colher dados privados do visitante de uma determinada página Web. Os cibercriminosos executam a técnica "framesniffing", através da qual eles podem usar a posição da barra de rolagem de um iFrame, para colher informações mais sensíveis.

    Para fazer isso, os crackers atraem suas vítimas para uma página que é controlada pelos próprios atacantes, e que carrega uma outra página em um iFrame invisível. Esta página, pode ser uma intranet confidencial ou pode conter dados privados em uma rede social. Os atacantes virtuais usam a tag "anchor", como http://en.wikipedia.org/wiki/Web_browser#History para poder inserir a página. Se a barra de rolagem for para a âncora depois que a página foi carregada, os atacantes sabem que algum elemento HTML com este ID, existe na página que eles estiverem visando.



    Colheita de Dados Privados Usando Âncoras de HTML

    Se esses atacantes estiverem cientes sobre o funcionamento da estrutura dessa página, eles podem, gradativamente, usar essas informações para acessar os dados de seu interesse. Por exemplo, eles poderiam lançar uma consulta orientada, e usar as âncoras que eles encontrassem na página de resultados, a fim de estabelecer quantas visitas foram identificadas pela consulta realizada.

    Para demonstrar a dimensão do problema, os pesquisadores utilizaram um script que extrai, ilegalmente, os dados de usuários da plataforma de negócios LinkedIn. No entanto, com um pouco mais de criatividade, seria possível a realização de ataques mais complexos; através de um vídeo, os especialistas em segurança demonstram como eles extraíram os detalhes de uma empresa fictícia, controlada por uma instalação a partir de um SharePoint em uma Intranet.



Visite: BR-Linux ·  VivaOLinux ·  Dicas-L