web-dev-qa-db-fra.com

Comment les attaques sur les navigateurs Web réussissent-elles?

Nous savons tous que les attaques sur les navigateurs Web sont tout à fait possibles. Cela inclut des attaques telles que des téléchargements d'entraînement, des attaques de MITB (Man-in-the-navigateur) et des plug-ins/Extensions de navigateur Keylogger.

Cependant, bien que nous sachions comment ces attaques sont effectuées, la question ici est Comment ces attaques de navigateur réussissent-elles à être effectuées? Est-ce dû à des utilisateurs de navigateurs ignorants? Extensions non vérifiées? etc.

3
rshah

Sans entrer dans les détails, je tiens à dire: Ne sous-estimez pas le risque continu d'une valeur non attribuée (et parfois inconnue, c'est-à-dire de véritables vulnérabilités de 0 jours dans les navigateurs. Les navigateurs sont des logiciels exceptionnellement compliqués et font face aux pressions d'augmentation continue de leur vitesse, en ajoutant une prise en charge des nouvelles fonctionnalités de HTTP/HTML/CSS/JS, de maintenir la compatibilité avec des sites hérités et de la fourniture de fonctionnalités de l'utilisateur. Tous ensemble, il s'agit d'un ensemble d'exigences intimidant contre quelle sécurité doit rivaliser. Bien que la sécurité du navigateur s'est bien acquise au cours des dernières années, elle-même une entreprise majeure, compte tenu non seulement de la complexité du logiciel, mais également du fait que la plupart des navigateurs prennent en charge plusieurs systèmes d'exploitation avec des fonctionnalités de sécurité différentes - les vulnérabilités critiques de nouvelles vulnérabilités sont encore découvertes (et patchées). chaque année. Les baisses longtemps appelées pour Java et Flash sur le Web ont fermé certains des vecteurs d'exploits les plus historiquement courants, mais les compilateurs JIT de Browser pour JS et leurs boîtes de sable complexes optimisées sur la performance présentent une surface d'attaque considérable.

Il y a des choses qui peuvent être faites pour atténuer ces menaces. Regardez sur quel navigateur résistant aux attaques Les meilleurs (Chrome a résisté aux derniers défis de Pwn2own, par exemple, bien que vulns y a été retrouvé et patché). Utilisez des extensions telles que "NOSSOT" pour bloquer des scripts inutiles ou inattendus de fonctionnement. Utilisez le blocage de la publicité pour empêcher l'un des vecteurs les plus courants pour la distribution de scripts malveillants. Ne désactivez pas les fonctionnalités de sécurité des navigateurs ou ne les gérez avec plus de privilèges que nécessaire. Évitez les sites sommaires ou malveillants (par exemple, cliquez simplement sur un lien dans un email de phishing exposant votre navigateur sur un site malveillant, même si vous n'entrez jamais de références). N'installez pas d'extensions (et n'installez certainement pas les plugins) qui n'entrent pas de sources de confiance ni que vous n'avez pas besoin; Même s'ils ne sont pas intrinsèquement malveillants, ils peuvent introduire de nouvelles vulnérabilités. La plupart des vitables, gardez votre navigateur et votre système d'exploitation à jour, en installant des mises à jour rapidement et en redémarrant le navigateur et/ou le système d'exploitation en cas de besoin.

2
CBHacking