Скрипты между приложениями - Cross-application scripting
эта статья нужны дополнительные цитаты для проверка.Август 2014 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Скрипты между приложениями (CAS) - уязвимость, затрагивающая настольные приложения, которые не проверяют ввод исчерпывающим образом. CAS позволяет злоумышленнику вставлять данные, которые изменяют поведение определенного настольного приложения. Это позволяет извлекать данные изнутри систем пользователей. При использовании уязвимостей CAS злоумышленники могут получить полные привилегии атакованного приложения; атака до некоторой степени не зависит от базовой операционной системы и архитектуры оборудования.
Первоначально обнаруженный Эмануэле Джентили и представленный двум другим исследователям (Алессандро Скоша и Эмануэле Акри), которые участвовали в изучении этого метода и его последствий, он был впервые представлен во время Саммита по безопасности 2010 г. Милан.[1][2][3]
В атака на строку формата очень похож по концепции на эту атаку, и CAS можно рассматривать как обобщение этого метода атаки. Некоторые аспекты этой техники были ранее продемонстрированы в кликджекинг техники.
Концепция
Как и веб-интерфейсы, современные фреймворки для реализации графических приложений (в частности GTK + и Qt ) позволяют использовать теги внутри своих собственных виджеты.Если злоумышленник получает возможность внедрять теги, он получает возможность управлять внешним видом и поведением приложения. Точно такое же явление было замечено с использованием межсайтовый скриптинг (XSS) на веб-страницах, поэтому такое поведение было названо межпрограммным скриптингом (CAS).
Обычно настольные приложения получают значительный объем входных данных и поддерживают большое количество функций, определенно больше, чем любой веб-интерфейс. Это затрудняет для разработчика проверку правильности фильтрации всех входных данных, которые программа может получить из ненадежных источников.
Подделка межпрограммного запроса
Если межпрограммные сценарии являются эквивалентом XSS в веб-приложениях, то подделка межпрограммных запросов (CARF) является эквивалентом подделка межсайтового запроса (CSRF) в настольных приложениях.
В CARF концепция «ссылки» и «протокола», унаследованная от Интернета, была расширена, поскольку она включает компоненты графической среды и, в некоторых случаях, операционной системы.
Использование уязвимостей, поддающихся CSRF, требует взаимодействия со стороны пользователя. Это требование не является особо ограничивающим, потому что пользователя можно легко заставить выполнить определенные действия, если графический интерфейс изменить правильно. Многие вводящие в заблуждение изменения внешнего вида приложений могут быть получены с использованием CAS: новый вид «фишинг », Чья опасность усугубляется отсутствием инструментов для обнаружения этого вида атак за пределами веб-сайтов или электронных писем.
В отличие от методов XSS, которые могут манипулировать и позже выполнять команды в браузере пользователя, с помощью CAS можно напрямую общаться с операционной системой, а не только с ее графическим интерфейсом.