【新媒体】你知道什么是跨区域信息泄露吗?DOM API又有哪些漏洞?
一、什么是跨区域信息泄露
跨区域信息泄露(Cross-Origin Resource Disclosure,C.O.R.D),是指网络攻击者利用未授权访问漏洞,盗取或获取跨域源站点的敏感信息。跨区域信息泄露有可能导致用户敏感信息被窃取,如身份证号码、密码等,给用户带来严重损失。
二、DOM API漏洞危害之大
DOM API漏洞是跨区域信息泄露中常见的一种方式,例如getComputedStyle()、XMLHttpRequest、postMessage等。与其他攻击方式相比,DOM API漏洞的危害之大在于,攻击者可以通过DOM API的一些漏洞,将注入的代码加载到被攻击站点的frame或iframe中,实现对站点的完全掌控。
三、具体介绍DOM API漏洞
1、getComputedStyle()漏洞
攻击者可以利用getComputedStyle()方法,通过将一个iframe作为背景图片,来获取该iframe中的内容,然后对获取到的内容进行进一步的分析和利用。
2、XMLHttpRequest漏洞
XMLHttpRequest通常会根据提供的URL地址发送异步请求。但是,某些浏览器会在同一个页面的所有frame中,使用一个XMLHttpRequest对象,以此完成对不同站点的异步请求,而攻击者正是通过这个漏洞来劫持XMLHttpRequest对象。
3、postMessage漏洞
postMessage的安全性取决于双方的实现方式,安全性较差的实现方式会因此带来一定的风险。攻击者可以向一个frame或iframe中注入恶意代码来攫取另一个frame或iframe的内容,再通过postMessage将敏感信息发送给另一方。
综合来看,DOM API漏洞是跨区域信息泄露中比较容易被攻击者利用的一种方式,因此需要网站系统管理员密切关注,尽早修复漏洞,提高跨域安全性,保护用户信息安全。