Quảng cáo mở rộng có thể là đầu vào cho các cuộc tấn công web

Nguyễn Thùy Linh, Trịnh Đình Trọng| 21/09/2018 03:15
Theo dõi ICTVietnam trên

Các nhà nghiên cứu tìm thấy lỗ hổng XSS trong bộ chặn khung nội tuyến, các tập lệnh mà ở đó cấc quảng cáo mở rộng có thể phát triển và chiếm một diện tích lớn của trang.

expanding-ad.jpg

Theo Randy Westergren, một nhà nghiên cứu bảo mật có trụ sở tại Delaware, các quảng cáo mở rộng trên trang web để hiển thị một biểu ngữ lớn hơn hoặc các thùng chứa video có thể bị lạm dụng như các cổng vào cho các cuộc tấn công khác nhau.

Nhà nghiên cứu cho biết ông đã xác định một số lỗ hổng trong bộ chặn khung nội tuyến - tên được đặt cho các tệp mà trang web lưu trữ trên máy chủ của họ để hỗ trợ các “quảng cáo mở rộng”.

Các công ty quảng cáo cung cấp các bộ chặn khung nội tuyến này cho chủ sở hữu trang web muốn hiển thị quảng cáo từ danh mục của mạng quảng cáo. Các tập lệnh này là duy nhất cho mỗi công ty quảng cáo, nhưng chúng hoạt động theo cách tương tự nhau, bằng cách chạy mã JavaScript bỏ qua tính năng bảo mật SOP (Chính sách đồng nhất) của trình duyệt để cho phép quảng cáo thoát khỏi vùng chứa cố định và thực hiện thay đổi đối với trang hiện tại và mở rộng khu vực hiển thị của nó.

Westergren nói rằng nhiều kịch bản khung chặn nội tuyến này dễ bị tấn công bởi các lỗ hổng yêu cầu cross-site (XSS) cho phép kẻ tấn công tận dụng lợi thế của tệp nôi tuyến được lưu trữ trên máy chủ của trang web để chạy mã JavaScript độc hại trên trang đó.

Thiệt hại gây ra bởi các cuộc tấn công này phụ thuộc vào khả năng của kẻ tấn công mã độc, nhưng thường được coi là kẻ tấn công có thể chạy mã JavaScript trên một trang web từ xa có thể lấy cắp thông tin của người dùng liên quan đến trang đó, thậm chí còn nhiều hơn.

Nhà nghiên cứu cho biết ông đã xác định các lỗ hổng XSS trong hầu hết các loại khung nội tuyến, và cho đến gần đây, Google đã cung cấp để tải xuống như một phần của bộ iFrame Buster (khung chặn nội tuyến) đa nhà cung cấp, được cung cấp thông qua trang web tài liệu DoubleClick AdExchange.

Westergren nêu chi tiết bốn ví dụ trên blog của mình, cho thấy cách kẻ tấn công có thể chạy mã độc trên bất kỳ trang web nào sử dụng bộ chặn khung nội tuyến từ các mạng quảng cáo như Adform, Eyeblaster (Add in Eye), Adtech và Jivox.

Nhà nghiên cứu cho biết ông đã thông báo cho Google về các vấn đề với bộ phận khung nội tuyến iframe trong bộ công cụ iFrame Buster của công ty và các kỹ sư của Google đã xóa các tập lệnh đó trong vòng hai tuần, vào tháng 1 năm nay.

Trong thời gian chờ đợi, Google đã ngừng cung cấp bộ công cụ để tải xuống hoàn toàn, nhưng một số trong số các tập lệnh khung nội tuyến iframe này vẫn dễ bị tấn công nếu được tải xuống từ các nguồn khác.

Người dùng muốn giữ an toàn được khuyên nên sử dụng trình chặn quảng cáo, vì hầu hết các trình chặn quảng cáo sẽ chặn quảng cáo cố gắng xâm nhập, phát triển và chiếm một khu vực rộng lớn của trang.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Quảng cáo mở rộng có thể là đầu vào cho các cuộc tấn công web
POWERED BY ONECMS - A PRODUCT OF NEKO