- Регистрация
- 18.01.2023
- Сообщения
- 1 674
- Реакции
- 295
- Депозит
- 𝟎.𝟓 𝐁𝐓𝐂
- Сделок через Гаранта
- 135
Исследователи безопасности из команды Imperva Red Team обнаружили уязвимость межсайтового поиска (XS-Search) на торговой площадке OpenSea, которая позволяет злоумышленнику раскрыть личность пользователя. Эксперты представили видео, демонстрирующее работу уязвимости.
Все, что нужно сделать хакеру, — это привязать IP-адрес, адрес электронной почты или сеанс браузера к определенному NFT. В результате киберпреступник получает доступ к адресу кошелька, который раскрывает личность пользователя.
Злоумышленник отправляет своей цели ссылку через различные каналы связи, например, SMS или электронную почту. Когда жертва нажимает на ссылку, информация о его IP-адресе, устройстве, useragent и версии ПО отправляется киберпреступнику.
Затем злоумышленник может использовать уязвимость межсайтового поиска, чтобы получить идентификатор NFT жертвы и сопоставить раскрытый адрес NFT-кошелька с номером телефона или адресом электронной почты, на который была отправлена ссылка.
Ошибка вызвана неправильной конфигурацией библиотеки «iFrame-resizer», которая использует OpenSea. Когда эта библиотека используется там, где обмен данными между источниками не ограничен, возникает уязвимость межсайтового поиска. OpenSea не ограничивал обмен данными, что привело к этой проблеме.
Эта неправильная конфигурация позволяет раскрыть личность пользователя. Учитывая тот факт, что экосистема NFT полностью основана на анонимности, такой недостаток может иметь серьезные последствия для бизнеса OpenSea, поскольку в случае его использования злоумышленник может начать фишинговые атаки, а также может отслеживать пользователей, которые приобрели NFT с наибольшей стоимостью.
Как работает уязвимость межсайтового поиска
Уязвимость межсайтового поиска, также называемая XS-Search, основана на семействе атак XS-Leaks. XS-Search можно найти в веб-приложениях, использующих механизмы поиска на основе запросов.
Уязвимость позволяет злоумышленнику извлекать конфиденциальную информацию из другого источника, отправляя запросы и наблюдая за различиями в поведении поисковой системы, когда она возвращает или не возвращает результаты. Хакер постепенно собирает информацию о пользователе, отправляя многочисленные запросы поисковой системе и используя заметные различия в поведении системы для извлечения данных жертвы.
После раскрытия уязвимости OpenSea быстро исправила ее, выпустив обновление, ограничивающее обмен данными между источниками (Cross-Origin Resource Sharing, CORS). Исправление предотвратило дальнейшее использование уязвимости.
Все, что нужно сделать хакеру, — это привязать IP-адрес, адрес электронной почты или сеанс браузера к определенному NFT. В результате киберпреступник получает доступ к адресу кошелька, который раскрывает личность пользователя.
Злоумышленник отправляет своей цели ссылку через различные каналы связи, например, SMS или электронную почту. Когда жертва нажимает на ссылку, информация о его IP-адресе, устройстве, useragent и версии ПО отправляется киберпреступнику.
Затем злоумышленник может использовать уязвимость межсайтового поиска, чтобы получить идентификатор NFT жертвы и сопоставить раскрытый адрес NFT-кошелька с номером телефона или адресом электронной почты, на который была отправлена ссылка.
Ошибка вызвана неправильной конфигурацией библиотеки «iFrame-resizer», которая использует OpenSea. Когда эта библиотека используется там, где обмен данными между источниками не ограничен, возникает уязвимость межсайтового поиска. OpenSea не ограничивал обмен данными, что привело к этой проблеме.
Эта неправильная конфигурация позволяет раскрыть личность пользователя. Учитывая тот факт, что экосистема NFT полностью основана на анонимности, такой недостаток может иметь серьезные последствия для бизнеса OpenSea, поскольку в случае его использования злоумышленник может начать фишинговые атаки, а также может отслеживать пользователей, которые приобрели NFT с наибольшей стоимостью.
Как работает уязвимость межсайтового поиска
Уязвимость межсайтового поиска, также называемая XS-Search, основана на семействе атак XS-Leaks. XS-Search можно найти в веб-приложениях, использующих механизмы поиска на основе запросов.
Уязвимость позволяет злоумышленнику извлекать конфиденциальную информацию из другого источника, отправляя запросы и наблюдая за различиями в поведении поисковой системы, когда она возвращает или не возвращает результаты. Хакер постепенно собирает информацию о пользователе, отправляя многочисленные запросы поисковой системе и используя заметные различия в поведении системы для извлечения данных жертвы.
После раскрытия уязвимости OpenSea быстро исправила ее, выпустив обновление, ограничивающее обмен данными между источниками (Cross-Origin Resource Sharing, CORS). Исправление предотвратило дальнейшее использование уязвимости.