就在两天前，Talos发布了Microsoft Edge浏览器安全漏洞的详细信息。该漏洞还包括旧版Google Chrome（CVE-2017-5033）和基于Webkit的浏览器（例如Apple的Safari：CVE-2017-2419）。攻击者将能够利用此漏洞绕过服务器设置的内容安全策略，并最终窃取存储在目标主机上的机密信息。 概观 在现代Web应用程序中，最基本的安全保护机制是我们称之为同源策略，而同源策略指定应用程序代码可以访问哪些资源。简单来说，同源策略的本质是它只允许来自特定服务器的代码访问Web资源。 就像脚本一样，假设脚本可以在Web服务器（good.example.com）上运行，它可以访问同一服务器上的数据资源。如果此脚本在evil.example.com中运行，则它将无法访问good.example.com数据资源。 但是，由于Web应用程序中存在或多或少的安全漏洞，因此攻击者可以绕过Web应用程序的同源策略。包含。一种相对熟悉且成功的攻击技术，即跨站脚本（XSS）。 XSS允许攻击者将远程代码注入浏览器执行的原始服务器代码，并且攻击者注入的恶意代码将能够作为合法应用程序在原始服务器中执行并访问服务器中的敏感数据，即使是也可以实现应用程序会话劫持。 内容安全策略（CSP）是一种针对XSS攻击的保护机制。它使用白名单技术来定义服务器资源的访问权限。但思科安全研究人员发现了一种绕过内容安全策略的新方法，该策略允许攻击者注入恶意代码以检索存储在目标服务器上的敏感数据。 技术细节（CVE-2017-2419，CVE-2017-5033） CSP定义的Content-Security-PolicyHTTP头可以创建资源白名单，并控制浏览器仅执行白名单中允许的资源。即使攻击者找到了注入恶意脚本并通过＆lt; script＆gt;成功启动XSS攻击的方法。标签，浏览器仍然不会执行与白名单规则不匹配的远程资源。 由Content-Security-Policy HTTP标头定义的script-src指令负责配置与CSP中的脚本代码相关的内容。配置示例如下: Content-Security-Policy: script-src'self'https://good.example.com 以上配置代码仅允许加载浏览器当前正在访问的服务器和good.example.com。 但可怕的是，Microsoft Edge（未修复），谷歌Chrome（固定）和Safari（固定）浏览器中存在信息泄露漏洞，攻击者可以利用这些漏洞绕过这些浏览器的内容。安全策略标题并成功窃取信息。 开发过程 在利用过程中有三个主要步骤：1。将“unsafe-inline”指令设置为浏览器Content-Security-Policy标头，以允许执行内联脚本代码; 2.使用window.open（）函数。打开一个新的浏览器窗口; 3.调用document.write函数将代码注入新创建的窗口对象并绕过CSP限制。 有关这三个安全漏洞的更多信息，请参阅TALOS发布的漏洞研究报告 - [TALOS-2017-0306]。 后续讨论 信息泄露漏洞可能不如允许漏洞注入远程代码和控制目标主机那么严重，但XSS攻击将允许攻击者提取敏感数据甚至可能侵入用户的帐户。内容安全策略专为XSS攻击而设计，许多开发人员依靠CSP来保护其Web应用程序免受XSS攻击。但是，Microsoft不认为Microsoft Edge浏览器中的此漏洞存在安全问题，因此他们不打算修复此漏洞。 因此，我们建议用户打开所有浏览器对内容安全策略的支持，并将浏览器更新到最新版本。 受影响的版本 Microsoft Edge（v40.15063及更早版本）Google Chrome（v57.0.2987.98及更早版本） - （CVE-2017-5033）iOS（v10.3及更早版本） - （CVE-2017-2419）Safari（v10.1和早些时候） - （CVE-2017-2419） *参考来源：talosintelligence，FB小编Alpha_h4ck汇编 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。