Skriptování mezi aplikacemi - Cross-application scripting

tento článek potřebuje další citace pro ověření. Prosím pomozte vylepšit tento článek podle přidávání citací ke spolehlivým zdrojům. Zdroj bez zdroje může být napaden a odstraněn. Najít zdroje: "Skriptování mezi aplikacemi"  – zprávy  · noviny  · knihy  · učenec  · JSTOR (Srpna 2014) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

Skriptování mezi aplikacemi (CAS) je chyba zabezpečení ovlivňující desktopové aplikace, které nekontrolují vstup vyčerpávajícím způsobem. CAS umožňuje útočníkovi vložit data, která upravují chování konkrétní desktopové aplikace. To umožňuje extrahovat data zevnitř systémů uživatelů. Útočníci mohou při využívání zranitelností CAS získat plná oprávnění napadené aplikace; útok je do určité míry nezávislý na základním operačním systému a hardwarové architektuře.

Původně objeven Emanuele Gentili a představen dvěma dalšími vědci (Alessandro Scoscia a Emanuele Acri), kteří se podíleli na studiu této techniky a jejích důsledků, byla poprvé představena na summitu bezpečnosti 2010 v Milán.^[1][2][3]

The formátovat řetězec útok je velmi podobný konceptu tohoto útoku a CAS lze považovat za zobecnění této metody útoku. Některé aspekty této techniky byly dříve demonstrovány v clickjacking techniky.

Pojem

Stejně jako webová rozhraní, moderní rámce pro realizaci grafických aplikací (zejména GTK + a Qt ) umožňují použití značek uvnitř jejich vlastních widgety Pokud útočník získá možnost vkládat značky, získá schopnost manipulovat se vzhledem a chováním aplikace. Přesně stejný jev byl pozorován při použití skriptování mezi weby (XSS) na webových stránkách, a proto byl tento druh chování pojmenován skriptování mezi aplikacemi (CAS).

Desktopové aplikace obvykle získávají značné množství vstupů a podporují velké množství funkcí, rozhodně více než jakékoli webové rozhraní. To vývojářům ztěžuje kontrolu, zda je správně filtrován veškerý vstup, který může program získat z nedůvěryhodných zdrojů.

Padělání žádosti o různé aplikace

Pokud je skriptování mezi aplikacemi ekvivalentem aplikace pro XSS ve webových aplikacích, pak je požadavek na padělání mezi aplikacemi (CARF) ekvivalentem padělání požadavku napříč weby (CSRF) v desktopových aplikacích.

V CARF byl koncept „odkazu“ a „protokolu“ zděděného z webu rozšířen, protože zahrnuje komponenty grafického prostředí a v některých případech operačního systému.

Využití zranitelných míst přístupných CSRF vyžaduje interakci uživatele. Tento požadavek není nijak zvlášť omezující, protože uživatele lze snadno přivést k provedení určitých akcí, pokud je grafické rozhraní změněno správným způsobem. Mnoho zavádějících změn ve vzhledu aplikací lze dosáhnout použitím CAS: nový druh „phishing ”, Jehož nebezpečnost je umocněna nedostatkem nástrojů pro detekci tohoto druhu útoku mimo webové stránky nebo e-maily.

Na rozdíl od technik XSS, které mohou manipulovat a později spouštět příkazy v prohlížeči uživatelů, je s CAS možné mluvit přímo s operačním systémem, nejen s jeho grafickým rozhraním.

Reference

externí odkazy