Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka
Nachdem Adobe Systems sie gebeten hatte, ihre Ergebnisse geheim zu halten, haben sich zwei Sicherheitsforscher aus einem technischen Gespräch zurückgezogen, um zu demonstrieren, wie sie mithilfe eines Online-Angriffs namens "Clickjacking" die Kontrolle über den Browser eines Opfers erlangen können. <
Robert Hansen und Jeremiah Grossman sollten nächste Woche auf der Konferenz OWASP (Open Web Application Security Project) in New York ihren Vortrag halten. Aber der Proof-of-Concept-Code, den sie entwickelt hatten, um zu zeigen, wie ihre Clickjacking-Attacke funktionierte, enthüllte einen Fehler in einem der Produkte von Adobe. Nach einer Woche der Diskussionen mit Adobe entschieden sich die Forscher letzten Freitag, den Vortrag zu halten.
Obwohl Hansen und Grossman glauben, dass der Clickjacking-Fehler letztlich in der Gestaltung von Internetbrowsern liegt, überzeugte Adobe sie, ihre Diskussion abzuhalten bis sie einen Patch veröffentlichen konnten. "Adobe glaubt, dass sie etwas tun können, um den Hack härter zu machen", sagte Grossman, CTO bei White Hat Security. In einem Clickjacking-Angriff verleitet der Angreifer das Opfer dazu, bösartige Weblinks anzuklicken, ohne es zu merken. Diese Art von Angriff ist seit Jahren bekannt, wurde aber nicht als besonders gefährlich angesehen. Sicherheitsexperten waren der Meinung, dass sie zum Beispiel für Klickbetrug in Anzeigen verwendet werden könnten oder Digg-Bewertungen für eine Webseite aufblähen könnten.
Hansen und Grossman erkannten jedoch, dass Clickjacking tatsächlich mehr war ernst, als sie zuerst dachten.
"Als wir es schließlich bauten und den Beweis des Konzeptes bekamen, war es ziemlich gemein", sagte Grossman. "Wenn ich kontrolliere, auf was du klickst, wie viel kann ich tun? Es stellt sich heraus, dass du eine Reihe wirklich, wirklich schlechter Dinge tun kannst."
Weder Grossman noch Hansen, CEO der Beratungsfirma SecTheory, wollten etwas Genaueres erfahren von ihrem Angriff. Tom Brennan, der Organisator der OWASP-Konferenz, sagte jedoch, er habe den Angriffscode vorgeführt und dem Angreifer ermöglicht, die vollständige Kontrolle über den Desktop des Opfers zu übernehmen.
Die Forscher sagen, dass sie nicht von Adobe unter Druck gesetzt wurden. "Das ist kein Übel", versucht der Mann, uns die Situation der Hacker zu ersparen, schrieb Hansen Montag auf seinem Blog.
Am späten Montag schrieb Adobe eine Notiz, in der er den Forschern dankte, dass sie den Fehler geheim hielten Das Unternehmen arbeitet daran, das Problem zu beheben.
Auch wenn Offenlegung des Fehlers Angreifern helfen könnte, sagte Brennan von OWASP, dass die Forscher immer noch reden sollten, um IT-Experten die Möglichkeit zu geben, die wahre Natur der Bedrohung zu verstehen. "Es gibt ein Zero-Day-Problem in Browsern, das Millionen von Menschen heute betrifft", sagte er. "Wenn eine Person darüber spricht, werden alle auf das gleiche Spielfeld gestellt."
Hansen und Grossman sagen, dass Microsoft auch erwartet, dass Microsoft einen zugehörigen Fehler in Internet Explorer korrigiert und dass viele andere Browser ebenfalls vom Clickjacking-Problem betroffen sind. "Wir glauben, dass es mehr oder weniger ein Browser-Sicherheitsproblem ist", sagte Grossman.
Apple zieht FCC-Anfrage mit Shady iPhone App-Ablehnungen
Die FCC hat Apple gebeten, zu begründen, warum sie die Google Voice App abgelehnt und entfernt haben, und welchen Einfluss AT & T auf die Entscheidung hatte.
FCC startet Anfrage in Google Voice
Die FCC hat eine Anfrage über Google Voice und die Sperrung einiger Anrufe in ländlichen Gebieten gestartet Die US-amerikanische Federal Communications Commission wird eine Untersuchung zu Google Voice, dem webbasierten Sprachdienst, einleiten, nachdem der Tech-Riese einige Anrufe blockiert hat.
400 Schlechte Anfrage, Cookie zu groß - Chrome, IE, Firefox, Edge
Wenn Sie eine 400 Bad Anfrage, Anfrage Header oder Cookie zu groß oder groß, nginx, Nachricht in Chrome, IE, Firefox, Edge Browser, dann sehen Sie, wie Sie es beheben können.