Pinterest 可谓图片版的 Twitter,网民能够将感兴趣的图片在 Pinterest 保存,其他网友能够重视,也能够转发图片。Pinterest 现在的广告营收或近 10 亿美元,估值最高 150 亿美元。由于 Pinterest 选用的是瀑布流的办法展现图片内容,无需用户翻页,新的图片不断主动加载在页面底端,让用户不断的发现新的图片。
所以为了进步用户的运用体会,Firefox 阅读器也就增加了一个未命名的阅读器扩展(由用户在 Firefox 上装置),旨在为用户拜访的任何网站供给 Pinterest 同享图标和功用,以便将网站同享到 Pinterest。不过有安全专家发现,这个未命名的扩展会将格局过错的代码注入到阅读器的文本修改器中。虽然当时注入的代码是无害的,可是存在必定的危险被乱用。依据现在的计算,已有至少 5000 个网站遭到了这样的代码注入。
该发现是网络安全公司 Sucuri 与本周二(7 月 24 号)发现并陈述的,该事情强调了现在阅读器扩展所面对的各种问题,稍有不小心就会被进犯者运用。
Sucuri 表明,由于扩展程序开发得很差,它还无意中将一段过错的代码增加到受影响的阅读器中创立的任何根据文本的内容中,包含帖子、电子邮件和谈天。
总归,Sucuri 表明,在 5000 个网站上发现了与这个 Firefox 阅读器扩展相关的格局过错的代码。
在曩昔,有许多的歹意阅读器扩展程序都成功的盗取过登录凭证,这其间就包含一些木马,对拜访用户进行窥视,或经过假造的合法扩展程序,将其歹意部分增加到其间。
扩展是歹意进犯者常用的东西,上一年,一种名为 Copyfish 的 Chrome 和 Firefox 的盛行免费光学字符识别(OCR)扩展被进犯者绑架,进犯者运用它来发送垃圾邮件和不需要的广告。原因是 Copyfish 的团队成员不小心在垂钓页面输入了暗码,进犯者随后绑架了 Copyfish for Chrome 的账号,将 Copyfish 转移到他们操控的账号。
由于 Pinterest 的受欢迎程度,所以这个未命名扩展会被许多用户装置。
对触及网站的 Bootstrap 的跟踪调查
面包屑导航(Breadcrumbs)是一种根据网站层次信息的显现办法。以博客为例,面包屑导航能够显现发布日期、类别或标签。它们表明当时页面在导航层次结构内的方位。Bootstrap 中的面包屑导航(Breadcrumbs)是一个简略的带有 .breadcrumb class 的无序列表。
Sucuri 的研究人员最近发现了几个彻底不同的网站,其间一个网站好像包含了一个经过 base64 编码的图画,仅仅它没有在网站上出现出来,代码字符串仅出现在源代码视图中。
剖析显现,同一段代码伪装成各种插件和主题现已出现在多个网站上,其间许多代码都保管在不同的服务器上。此外,Sucuri 说,很明显网站所有者并没有自己增加代码。
经过一番发掘,研究人员发现这些网站有一个共同点,他们都具有相同的网站管理员。网站管理员经过装置这个缝隙百出的阅读器扩展,不知不觉的将代码片段注入到他们修改的任何 WordPress 页面中。
注入无用的脚本
在这种情况下,注入代码就是一个格局过错的图画脚本,它好像是由于开发过错导致的,而不是歹意进犯形成的。
在网站上展现图片的办法多种多样,最常见的办法是将文件上传到服务器并运用指向它的
标签,这个标签十分通用。除了承受保管在同一服务器上的图画文件之外,它还承受长途文件。不论你信不信,整个图画被编码为 base64 字符串。
这意味着假如表明图画的代码字符串放置在阅读器 URL 栏中,该图画将显现在阅读器中,这其实是一种获取长途图画的办法。
运用 base64 编码图画文件的这种办法适当遍及,由于它能够协助页面进步加载速率,提高用户体会。这种优化技能将图画存储在页面源代码中,阅读器直接对其进行解说,这能够防止恳求进程并将其他文件从服务器直接传输到客户端。
在运用 Pinterest 的情况下,所触及的代码片段就会被注入到出现的图画中,可是站点拜访者是无法看到的。这很可能是由于整个字符串都是小写的,这是研究人员在评论 base64 时遇到的一个问题,就是区别大小写的问题。
被注入不必要代码的结果
假如研制人员犯了过错,比方将扩展代码走漏到任何根据阅读器的文本修改器(在本文中,指的是 WordPress 的帖子修改器)。那在这种情况下,一个简略的 Pinterest 图标扩展就会被增加到阅读器中以保存 Pinterest 上的链接。
扩展实质上会导致代码注入任何内容,理论上,这是歹意软件的完美载体。幻想一下,假如你正在阅读银行网站或是发送重要的电子邮件或在购买页面上提交你的个人信息,那这种注入的严峻性怎么? 假如它在你的网站上翻开缝隙怎么办?
所以要害的一点是要注意咱们在阅读器上运用的扩展,由于它们能够直接与出现给咱们的内容进行交互,特别是当咱们处理敏感数据时。
现在,还很难评价这些类型注入在扩展中的遍及程度,但看到代码能够注入到文本输入字段,你就能够幻想假如存在歹意意图,那么结果会有多严峻。
