Хабрахабр: Коллективные / Блоги / Захабренные Голосов: 10 Адрес блога: http://habrahabr.ru/blog/ Добавлен: 2007-10-24 18:05:40 блограйдером Robin_Bad

Вопросы безопасности в веб-технологиях / Microsoft не считает кукиджекинг серьёзной угрозой

2011-05-30 16:57:32 (читать в оригинале)

На недавней хакерский конференции в Швейцарии итальянский исследователь Розарио Валотта (Розарио Валотта) продемонстрировал интересный баг в IE 7/8/9, позволяющий скопировать кукисы с компьютера пользователя.

По аналогии с кликджекингом, метод работает через прозрачный iframe, куда выводится список файлов из папки с кукисами. Над ним размещается ещё один элемент, который пользователь перетягивает на другой фрейм с минимальными настройками безопасности (Security Zones в IE), фактически добровольно отдавая файлы злоумышленнику. В своём блоге Розарио Валотта выложил красивый паззл c полуобнажённой девушкой, где кусочки мозаики нужно убирать в сторону — и за несколько дней он получил кукисы от 80 из 150 своих френдов на Facebook. Сайт Валотты на хостинге Google уже отключен за нарушение ToS.