web-dev-qa-db-ja.com

Webブラウザーへの攻撃はどのように成功しますか?

Webブラウザーへの攻撃は完全に可能であることは誰もが知っています。これには、ドライブバイダウンロード、MITB(man-in-the-browser)攻撃、キーロガーブラウザープラグイン/拡張機能などの攻撃が含まれます。

ただし、これらの攻撃がどのように実行されるかはわかっていますが、ここでの質問はこれらのブラウザ攻撃がどのように成功するかですか?それは無知なブラウザユーザーによるものですか?未確認の拡張機能ですか?等.

web-browserattacksattack-preventiondefense
3
rshah

ブラウザ自体の脆弱性を悪用するドライブバイダウンロード攻撃はまだありますが、今日のほとんどのWebベースの攻撃は異なります。これは、安全でない主要なテクノロジ(ActiveX、Java、Flash)がほとんど禁止され、ブラウザ自体も攻撃に対してより堅牢になったため、ドライブバイダウンロードが難しくなったためです。

今日の主な攻撃は、おそらくユーザーを騙すこと、つまりフィッシングです。たとえば、似たようなサイトや、ログイン後にインポート情報を約束するサイトで行われるクレデンシャルフィッシングがあります(通常、メールやその他のメッセージからリンクされています)。コンテンツにアクセスするためにプラグインまたはソフトウェアの更新が必要であると主張するビデオの(通常は違法な)ストリーミングまたはダウンロードのサイトがあります。また、ユーザーをだまして偽のアンチウイルスをダウンロードさせたり、偽のMicrosoftホットラインなどに電話をかけさせるために、システムエラーメッセージのように見えるウィンドウまたはポップアップを作成するサイトもあります。

また、最初から意図したものか、拡張機能の所有権が一部の怪しいパーティーに譲渡されたために、後で動作を悪意のあるものに変更する、一見無害なブラウザプラグインまたは拡張機能もあります。通常、拡張機能は自動的に更新されるため、この攻撃は、悪意のある動作を静かに追加するためにユーザーが拡張機能で持っていた初期信頼を使用することに基づいています。

それは無知なブラウザユーザーによるものですか?

ユーザーの無知を非難するのは簡単ですが、それは公平ではありません。平均的なユーザーが攻撃の検出に関して多くの経験を持つことは期待できません。ほとんどのユーザーは、さまざまなユーザーインターフェイスやさまざまな動作、さまざまなWebサイト、およびWebサイトやオペレーティングシステムからの散発的なエラーメッセージに適切に対応できません。これらは、続行する前に更新プログラムをインストールする必要があるさまざまなソフトウェアに悩まされるために使用されます。彼らが望むのは物事を成し遂げることだけです。そして、ほとんどの場合、エラーメッセージを無視するか、ダイアログで推奨されないオプションを選択することで、実際には理解していないことでこれを行うことができます。したがって、攻撃者は十分なユーザーが続行するためにほぼすべてのことを実行することを期待できます。これが特にボタンをクリックするか、ソフトウェアをすばやくインストールする場合は、これはとにかく訓練されているためです。

ユーザーを教育してアラートを維持することは、これまでのところしかできません。これは彼らの振る舞いをより疑わしいものに変えるかもしれませんが、平均的なユーザー(そして時にはエキスパートにとっても)が良いものと悪いものを適切に区別することはしばしば不可能であるため、これは完全に無害なログインプロンプト、ダイアログまたは更新リクエストにより疑わしいものになります。 。したがって、ほとんどの場合それは実際には無実であるため、これは通常、続行するために予期しない動作さえも受け入れることになります。

3
Steffen Ullrich

詳細には触れずに、ブラウザーのパッチが適用されていない(場合によっては不明な、つまり真の0日間)脆弱性による進行中のリスクを過小評価しないでください。ブラウザは非常に複雑なソフトウェアであり、ブラウザの速度を継続的に向上させ、HTTP/HTML/CSS/JSの新機能のサポートを追加し、レガシーサイトとの互換性を維持し、ユーザー向けの機能を提供するというプレッシャーに直面しています。全体として、これはセキュリティが競合しなければならない困難な一連の要件です。ソフトウェアの複雑さだけでなく、ほとんどのブラウザが異なるセキュリティ機能を備えた複数のオペレーティングシステムをサポートしているという事実を考慮すると、ブラウザのセキュリティは近年大幅に改善されていますが、ほとんどのブラウザは、重大な新しいブラウザの脆弱性が依然として発見されています(パッチが適用されています)。毎年。 JavaおよびWeb上のFlashの長期にわたる衰退により、最も歴史的に一般的なエクスプロイトベクトルの一部が閉鎖されましたが、JS用のブラウザのJITコンパイラおよびそれらの複雑でパフォーマンスが最適化されたサンドボックスはまだ残っていますかなりの攻撃面があります。

これらの脅威を軽減するためにできることがいくつかあります。攻撃に最も耐えるブラウザを調べます(たとえば、Chromeは最後のいくつかのPwn2Ownチャレンジに耐えましたが、その中の脆弱性はまだ発見されており、パッチが適用されています)。 「NoScript」などの拡張機能を使用して、不要なスクリプトや予期しないスクリプトの実行をブロックします。広告のブロックを使用して、悪意のあるスクリプトを配布するための最も一般的な方法の1つを防ぎます。ブラウザのセキュリティ機能をオフにしたり、必要以上の権限で実行したりしないでください。大ざっぱなサイトや悪意のあるサイトは避けてください(たとえば、フィッシングメールのリンクをクリックするだけで、資格情報を入力しなかった場合でも、ブラウザーが悪意のあるサイトにさらされます)。信頼できるソースからのものではない、または必要のない拡張機能をインストールしないでください(プラグインをインストールしないでください)。本質的に悪質ではない場合でも、新しい脆弱性をもたらす可能性があります。最も重要なのは、更新を迅速にインストールし、必要に応じてブラウザーやOSを再起動することにより、ブラウザーとOSの両方を最新の状態に保つことです。

2
CBHacking