15行CSS代码攻击会导致 iOS 系统重启或 Mac 冻结

时间: 2018-10-26阅读: 1262标签: 攻击

Wire 的安全研究员 Sabri Haddouche 发现了一种新的攻击,只需访问包含某些 csshtml 的网页,就会导致 iOS 重新启动或重新启动以及 macOS 冻结。 Windows 和 Linux 用户不受此错误的影响。


攻击利用 -webkit-backdrop-filter css 属性中的弱点,通过使用具有该属性的嵌套 div,可以快速消耗所有图形资源并崩溃或冻结操作系统。攻击不需要启用 JavaScript,因此它也适用于 Mail。在 macOS 上,表现为 UI 冻结。在 iOS 上, 表现为设备重启。此攻击会影响 iOS 上的所有浏览器,以及 macOS 中的 Safari 和 Mail,因为它们都使用 WebKit 渲染引擎。


对于那些想要查看导致此攻击的人,研究人员已将其发布在 GitHub 页面上:https://gist.github.com/pwnsdx/ce64de2760996a6c432f06d612e33aea。(点击 rawgit.com 链接时要小心,因为它会迅速导致 iOS 崩溃或导致 Mac 出现问题。)


打开这个 GitHub 页面,可以看到代码如下:  


上面红色部分是一张经过 base64 编码的图片,下面是很多<div>标签。就是利用了在过滤器属性中嵌入大量 html 元素标签来消耗设备的资源,从而达到攻击的目的。  


编译自: BleepingComputer 

 

站长推荐

1.云服务推荐: 国内主流云服务商,各类云产品的最新活动,优惠券领取。地址:阿里云腾讯云华为云

链接: http://www.fly63.com/article/detial/1195

CSRF 与 XSS

CSRF:需要用户先登录网站A,获取 cookie。XSS:不需要登录。CSRF:是利用网站A本身的漏洞,去请求网站A的api。XSS:是向网站 A 注入 JS代码,然后执行 JS 里的代码,篡改网站A的内容。

前端安全系列之如何防止 XSS 攻击?

前端是引发企业安全问题的高危据点,XSS 攻击是页面被注入了恶意的代码,本文我们会讲解 XSS ,主要包括:XSS 攻击的介绍,XSS 攻击的分类,XSS 攻击的预防和检测,XSS 攻击的总结,XSS 攻击案例

CC防御过程中,WAF的主要特点有哪些?

一部分网站和游戏,以及金融的企业网站负责人员对于流量攻击应该属于耳熟能详。对此问题一直也是他们最头疼的。因此在解决DDoS攻击和CC攻击防御的过程中,运用了WAF指纹识别架构去做相对应的权限策略,以此避免误封正常的用户访问请求

需要避免的五个防火墙配置错误

防火墙配置错误可能与没有防火墙一样危险。人们需要了解五个常见的防火墙配置错误,这些错误将让任何组织都容易受到攻击,防火墙是抵御所有类型网络入侵者的主要防线,但即使具有多年的实践和丰富的经验

XSS攻击

在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。

DOM-XSS攻击原理与防御

XSS的中文名称叫跨站脚本,是WEB漏洞中比较常见的一种,特点就是可以将恶意HTML/JavaScript代码注入到受害用户浏览的网页上,从而达到劫持用户会话的目的。XSS根据恶意脚本的传递方式可以分为3种

XSS自动点按钮有什么危害?如何让按钮不被 JS 自动点击?

在社交网络里,很多操作都是通过点击按钮发起的,例如发表留言。假如留言系统有 XSS,用户中招后除了基本攻击外,还能进行传播 —— XSS 自动填入留言内容,并模拟点击发表按钮,于是就能发布带有恶意代码的留言

HTTP慢速攻击

HTTP慢速攻击也叫slow http attack,是一种DoS攻击的方式。由于HTTP请求底层使用TCP网络连接进行会话,因此如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用慢速发HTTP请求

常见的Web攻击方式有哪些?

有数据显示,有约98%的网站曾经遭受黑客攻击。也就是说,几乎所有的网站,都被黑客送过“温暖”,它们无时无刻都在关注着我们的网站,有时候他们对网站的关注程度,甚至超过了我们。

通过代码重用攻击绕过现代XSS防御

XSS已有近二十年的历史了,但它仍然是Web上最常见的漏洞之一。因此,已经发展了许多机制来减轻漏洞的影响。我经常会误以为这些机制可以作为针对XSS的保护。今天,我们将了解为什么情况并非如此。我们将在代码重用攻击领域探索一种相对较新的技术

点击更多...

内容以共享、参考、研究为目的,不存在任何商业目的。其版权属原作者所有,如有侵权或违规,请与小编联系!情况属实本人将予以删除!