华人澳洲中文论坛

热图推荐

    可泄漏用户明码 Bitwarden明码办理器阅读器扩展发现新破绽

    [复制链接]

    2023-3-11 21:11:26 25 0

    原标题:可泄漏用户明码 Bitwarden明码办理器阅读器扩展发现新破绽  
    3 月 十一 日动静,按照平安机构 FlashPoint 民间博文,在明码办理器 Bitwarden 的阅读器扩展顺序中发现了一个高危破绽,能够泄漏用户的明码信息。  


    歹意网站能够利用该破绽,在受信赖页面中嵌入 IFRAME 代码。用户拜候这些歹意网站,并使用 Bitwarden 自动填充之后,就能获得用户的凭证信息。  
    IT之家从博文中得悉,致使这个破绽的症结是 Bitwarden 以非典型形式处置网页中的嵌入式 iframe。  
    阅读器经过同源战略,离开 iframe 嵌入页面和父页面。也就是说,iframe 嵌入页面和父页面应该是相互隔离的形态,无奈拜候其内容。目前包罗 Firefox、Chrome 等次要阅读器均采取了这个平安概念。  


    Bitwarden 阅读器扩展还在经过 iframe 嵌入来自其余域的第三方内容的页面上使用自动填充功用。经过 iframe 嵌入的网页无权拜候父页面的内容。  
    但平安钻研人员写道无需进一步的用户交互,该页面能够等候登录表单的输出,并将输出的凭据转发到近程办事器。  
    Bitwarden 文档的确包孕一条正告,即“受感染或不受信赖的网站”可能会利用此来盗取凭据。平安钻研人员表现,假如网站自身遭到要挟,扩展简直无奈禁止盗取凭据。  
    【来源:IT之家】

    发表回复

    您需要登录后才可以回帖 登录 | 立即注册

    返回列表 本版积分规则

    :
    注册会员
    :
    论坛短信
    :
    未填写
    :
    未填写
    :
    未填写

    主题27

    帖子35

    积分149

    图文推荐