Fugas entre sitios

Clase de ataques a la seguridad web

Las fugas entre sitios , también conocidas como fugas XS , son un término de seguridad de Internet que se utiliza para describir una clase de ataques que se utilizan para acceder a la información confidencial de un usuario en otro sitio web. Las fugas entre sitios permiten a un atacante acceder a las interacciones de un usuario con otros sitios web. Esto puede contener información confidencial. Los navegadores web normalmente impiden que otros sitios web vean esta información. Esto se aplica a través de un conjunto de reglas llamadas política del mismo origen . Los atacantes a veces pueden eludir estas reglas, utilizando una "fuga entre sitios". Los ataques que utilizan una fuga entre sitios a menudo se inician al incitar a los usuarios a visitar el sitio web del atacante. Al visitarlo, el atacante utiliza un código malicioso en su sitio web para interactuar con otro sitio web. Un atacante puede utilizar esto para conocer las acciones anteriores del usuario en el otro sitio web. La información de este ataque puede identificar de forma única al usuario ante el atacante.

Estos ataques se han documentado desde el año 2000. Uno de los primeros artículos de investigación sobre el tema fue publicado por investigadores de la Universidad de Purdue . El artículo describía un ataque en el que se explotaba la memoria caché web para recopilar información sobre un sitio web. Desde entonces, las filtraciones entre sitios se han vuelto cada vez más sofisticadas. Los investigadores han descubierto filtraciones más nuevas dirigidas a varios componentes del navegador web. Si bien la eficacia de algunas de estas técnicas varía, continuamente se descubren técnicas más nuevas. Algunos métodos más antiguos se bloquean mediante actualizaciones del software del navegador. La introducción y eliminación de funciones en Internet también hace que algunos ataques se vuelvan ineficaces.

Las fugas entre sitios son una forma diversa de ataque y no existe una clasificación uniforme de dichos ataques. Varias fuentes clasifican las fugas entre sitios según la técnica utilizada para filtrar información. Entre las fugas entre sitios más conocidas se encuentran los ataques de sincronización, que dependen de eventos de sincronización dentro del navegador web. Los eventos de error constituyen otra categoría, que utilizan la presencia o ausencia de eventos para revelar datos. Además, los ataques de sincronización de caché se basan en la caché web para revelar información. Desde 2023, también se han encontrado ataques más nuevos que utilizan los sistemas operativos y los límites del navegador web para filtrar información.

Antes de 2017, se consideraba que la defensa contra las fugas entre sitios era difícil, ya que muchos de los problemas de fuga de información que explotaban los ataques de fuga entre sitios eran inherentes a la forma en que funcionaban los sitios web. La mayoría de las defensas contra esta clase de ataques se introdujeron después de 2017 en forma de extensiones del protocolo de transferencia de hipertexto (HTTP). Estas extensiones permiten a los sitios web indicar al navegador que no permita o anote ciertos tipos de solicitudes con estado que provienen de otros sitios web. Uno de los enfoques más exitosos que han implementado los navegadores son las cookies SameSite . Las cookies SameSite permiten a los sitios web establecer una directiva que impide que otros sitios web accedan y envíen cookies confidenciales. Otra defensa implica el uso de encabezados HTTP para restringir qué sitios web pueden incrustar un sitio en particular. La partición de caché también sirve como defensa contra las fugas entre sitios, lo que evita que otros sitios web utilicen la caché web para exfiltrar datos.

Fondo

Las aplicaciones web (web apps) tienen dos componentes principales: un navegador web y uno o más servidores web . El navegador normalmente interactúa con los servidores a través del protocolo de transferencia de hipertexto (HTTP) y conexiones WebSocket para entregar una aplicación web. ^{[nota 1]} Para hacer que la aplicación web sea interactiva, el navegador también procesa HTML y CSS , y ejecuta el código JavaScript proporcionado por la aplicación web. Estos elementos permiten que la aplicación web reaccione a las entradas del usuario y ejecute la lógica del lado del cliente. ^[2] A menudo, los usuarios interactúan con la aplicación web durante largos períodos de tiempo, realizando múltiples solicitudes al servidor. Para realizar un seguimiento de dichas solicitudes, las aplicaciones web a menudo utilizan un identificador persistente vinculado a un usuario específico a través de su sesión actual o cuenta de usuario. ^[3] Este identificador puede incluir detalles como la edad o el nivel de acceso, que reflejan el historial del usuario con la aplicación web. Si se revelan a otros sitios web, estos atributos identificables podrían desanonimizar al usuario. ^[4]

Lo ideal sería que cada aplicación web funcionara de forma independiente sin interferir con las demás. Sin embargo, debido a las diversas opciones de diseño que se tomaron durante los primeros años de la web, las aplicaciones web pueden interactuar regularmente entre sí. ^[5] Para evitar el abuso de este comportamiento, los navegadores web aplican un conjunto de reglas llamadas política del mismo origen que limita las interacciones directas entre aplicaciones web de diferentes fuentes. ^{[6] [7]} A pesar de estas restricciones, las aplicaciones web a menudo necesitan cargar contenido de fuentes externas, como instrucciones para mostrar elementos en una página, diseños y videos o imágenes. Este tipo de interacciones, llamadas solicitudes de origen cruzado, son excepciones a la política del mismo origen. ^[8] Se rigen por un conjunto de reglas estrictas conocidas como el marco de intercambio de recursos de origen cruzado (CORS). CORS garantiza que dichas interacciones se produzcan en condiciones controladas al evitar el acceso no autorizado a los datos que una aplicación web no tiene permitido ver. Esto se logra al requerir un permiso explícito antes de que otros sitios web puedan acceder al contenido de estas solicitudes. ^[9]

Las fugas entre sitios permiten a los atacantes eludir las restricciones impuestas por la política del mismo origen y el marco CORS. Aprovechan los problemas de fuga de información ( canales laterales ) que históricamente han estado presentes en los navegadores. Mediante estos canales laterales, un atacante puede ejecutar código que puede inferir detalles sobre los datos que la política del mismo origen habría protegido. ^[10] Estos datos pueden luego usarse para revelar información sobre las interacciones anteriores de un usuario con una aplicación web. ^[11]

Mecanismo

• 
  En ausencia de un tercero, el navegador del usuario envía una solicitud HTTP al servidor web . El servidor envía una respuesta en función de la naturaleza de la solicitud.
• 
  Un atacante identifica una URL vulnerable y envía al usuario a su sitio web mediante un correo electrónico. Cuando el usuario accede al sitio web del atacante, este puede realizar solicitudes maliciosas al servidor web mediante la URL vulnerable.
• 
  El atacante no puede leer la respuesta del servidor web, pero sí puede medir otros factores, como el tiempo o el tamaño de la respuesta, lo que permite filtrar información sobre la respuesta (un ataque de canal lateral) .

Para llevar a cabo un ataque de fuga entre sitios, un atacante primero debe estudiar cómo interactúa un sitio web con los usuarios. Necesitan identificar una URL específica que produzca diferentes respuestas de Protocolo de transferencia de hipertexto (HTTP) en función de las acciones anteriores del usuario en el sitio. ^{[12] [13]} Por ejemplo, si el atacante está tratando de atacar Gmail , podría intentar encontrar una URL de búsqueda que devuelva una respuesta HTTP diferente en función de la cantidad de resultados de búsqueda que se encuentren para un término de búsqueda específico en los correos electrónicos de un usuario. ^[14] Una vez que un atacante encuentra una URL específica, puede alojar un sitio web y realizar phishing o atraer de otro modo a usuarios desprevenidos al sitio web. Una vez que la víctima está en el sitio web del atacante, el atacante puede usar varias técnicas de incrustación para iniciar solicitudes HTTP de origen cruzado a la URL identificada por el atacante. ^[15] Sin embargo, dado que el atacante está en un sitio web diferente, la política del mismo origen impuesta por el navegador web evitará que el atacante lea directamente cualquier parte de la respuesta enviada por el sitio web vulnerable. ^{[nota 2] [16]}

Para sortear esta barrera de seguridad, el atacante puede utilizar métodos de filtración del navegador para distinguir diferencias sutiles entre diferentes respuestas. Los métodos de filtración del navegador son fragmentos de JavaScript , CSS o HTML que aprovechan problemas de filtración de información de larga data ( canales laterales ) en el navegador web para revelar características específicas sobre una respuesta HTTP. ^{[12] [13]} En el caso de Gmail, el atacante podría usar JavaScript para cronometrar el tiempo que tarda el navegador en analizar la respuesta HTTP devuelta por el resultado de la búsqueda. Si el tiempo que tarda en analizar la respuesta devuelta por el punto final es bajo, el atacante podría inferir que no hubo resultados de búsqueda para su consulta. Alternativamente, si el sitio tardó más, el atacante podría inferir que se devolvieron múltiples resultados de búsqueda. ^[14] El atacante puede utilizar posteriormente la información obtenida a través de estas filtraciones de información para exfiltrar información confidencial, que puede utilizarse para rastrear y desanonimizar a la víctima. ^[15] En el caso de Gmail, el atacante podría realizar una solicitud al punto final de búsqueda con una consulta y, posteriormente, medir el tiempo que tardó la consulta en averiguar si el usuario tenía o no correos electrónicos que contuvieran una cadena de consulta específica. ^{[nota 3]} Si una respuesta tarda muy poco tiempo en procesarse, el atacante puede suponer que no se devolvieron resultados de búsqueda. Por el contrario, si una respuesta tarda mucho tiempo en procesarse, el atacante puede inferir que se devolvieron muchos resultados de búsqueda. Al realizar múltiples solicitudes, un atacante podría obtener información significativa sobre el estado actual de la aplicación víctima, lo que podría revelar información privada de un usuario y ayudar a lanzar sofisticados ataques de spam y phishing. ^[17]

Historia

Las fugas de datos entre sitios se conocen desde el año 2000; ^[18] En los artículos de investigación de ese año de la Universidad de Purdue se describe un ataque teórico que utiliza la caché HTTP para comprometer la privacidad de los hábitos de navegación de un usuario. ^[19] En 2007, Andrew Bortz y Dan Boneh de la Universidad de Stanford publicaron un informe técnico que detallaba un ataque que utilizaba información de tiempo para determinar el tamaño de las respuestas entre sitios. ^[20] En 2015, investigadores de la Universidad Bar-Ilan describieron un ataque de búsqueda entre sitios que utilizaba métodos de fuga similares. El ataque empleaba una técnica en la que la entrada se creaba para aumentar el tamaño de las respuestas, lo que conducía a un crecimiento proporcional del tiempo necesario para generar las respuestas, aumentando así la precisión del ataque. ^[21]

Investigadores de seguridad independientes han publicado entradas de blog que describen ataques de fugas entre sitios contra aplicaciones del mundo real. En 2009, Chris Evans describió un ataque contra Yahoo! Mail a través del cual un sitio malicioso podría buscar información confidencial en la bandeja de entrada de un usuario. ^{[22] En 2018, Luan Herrara encontró una} vulnerabilidad de fuga entre sitios en el rastreador de errores Monorail de Google, que es utilizado por proyectos como Chromium , Angle y Skia Graphics Engine . Este exploit permitió a Herrara exfiltrar datos sobre problemas de seguridad sensibles al abusar del punto final de búsqueda del rastreador de errores. ^{[23] [24]} En 2019, Terjanq, un investigador de seguridad polaco, publicó una entrada de blog que describe un ataque de búsqueda entre sitios que les permitió exfiltrar información confidencial de los usuarios en productos de Google de alto perfil. ^{[25] [26]}

Como parte de su mayor enfoque en abordar los problemas de seguridad que dependen del uso indebido de funciones de plataformas web de larga data , Google lanzó XSLeaks Wiki en 2020. La iniciativa tenía como objetivo crear una base de datos de conocimiento abierto sobre las funciones de plataformas web que se estaban utilizando indebidamente y analizar y recopilar información sobre ataques de fugas entre sitios. ^{[22] [27] [28]}

Desde 2020, la comunidad académica de seguridad ha mostrado cierto interés por estandarizar la clasificación de estos ataques. En 2020, Sudhodanan et al. estuvieron entre los primeros en resumir sistemáticamente el trabajo previo sobre fugas entre sitios y desarrollaron una herramienta llamada BASTA-COSI que podría utilizarse para detectar URL con fugas. ^{[28] [29]} En 2021, Knittel et al. propusieron un nuevo modelo formal para evaluar y caracterizar las fugas entre sitios, lo que permitió a los investigadores encontrar nuevas fugas que afectaran a varios navegadores. ^{[28] [30]} En 2022, Van Goethem et al. evaluaron las defensas actualmente disponibles contra estos ataques y ampliaron el modelo existente para considerar el estado de los componentes del navegador como parte del modelo. ^{[28] [13]} En 2023, un artículo publicado por Rautenstrauch et al. que sistematizaba investigaciones previas sobre fugas entre sitios recibió el premio Distinguished Paper Award en el Simposio IEEE sobre Seguridad y Privacidad . ^[31]

Modelo de amenaza

El modelo de amenaza de una fuga de datos entre sitios se basa en que el atacante pueda dirigir a la víctima a un sitio web malicioso que esté al menos parcialmente bajo su control. El atacante puede lograr esto comprometiendo una página web, haciendo que el usuario ingrese a una página web y cargue código arbitrario, o utilizando un anuncio malicioso en una página web que de otro modo sería segura. ^{[32] [33]}

Los ataques de fuga de información entre sitios requieren que el atacante identifique al menos una URL dependiente del estado en la aplicación víctima para usarla en la aplicación de ataque. Según el estado de la aplicación víctima, esta URL debe proporcionar al menos dos respuestas. Una URL se puede crear, por ejemplo, vinculando a contenido al que solo puede acceder el usuario si ha iniciado sesión en el sitio web de destino. La inclusión de esta URL dependiente del estado en la aplicación maliciosa iniciará una solicitud de origen cruzado a la aplicación de destino. ^[15] Debido a que la solicitud es una solicitud de origen cruzado, la política del mismo origen impide que el atacante lea el contenido de la respuesta. Sin embargo, utilizando un método de fuga de información del navegador, el atacante puede consultar características identificables específicas de la respuesta, como el código de estado HTTP . Esto le permite al atacante distinguir entre respuestas y obtener información sobre el estado de la aplicación víctima. ^{[12] [13]}

Si bien cada método para iniciar una solicitud de origen cruzado a una URL en una página web se puede combinar con cada método de fuga de navegador, esto no funciona en la práctica porque existen dependencias entre los diferentes métodos de inclusión y fugas de navegador. Algunos métodos de fuga de navegador requieren técnicas de inclusión específicas para tener éxito. ^[34] Por ejemplo, si el método de fuga de navegador se basa en la comprobación de atributos CSS como el ancho y la altura de un elemento, la técnica de inclusión debe utilizar un elemento HTML con una propiedad de ancho y altura, como un elemento de imagen, que cambia cuando una solicitud de origen cruzado devuelve una imagen no válida o de un tamaño diferente. ^{[35] [36]}

Tipos

Las fugas entre sitios comprenden una gama muy variada de ataques ^[37] para los que no existe una clasificación uniforme establecida. ^[38] Sin embargo, varias fuentes suelen clasificar estos ataques según las técnicas de fuga utilizadas durante un ataque. ^[34] A partir de 2021 ^[actualizar], los investigadores han identificado más de 38 técnicas de fuga que apuntan a componentes del navegador. ^[32] Las nuevas técnicas suelen descubrirse debido a cambios en las API de la plataforma web , que son interfaces de JavaScript que permiten a los sitios web consultar el navegador para obtener información específica. ^[39] Aunque la mayoría de estas técnicas implican la detección directa de cambios de estado en la aplicación web víctima, algunos ataques también explotan alteraciones en los componentes compartidos dentro del navegador para obtener información indirectamente sobre la aplicación web víctima. ^[34]

Ataques de tiempo

Los ataques de sincronización se basan en la capacidad de cronometrar eventos específicos en múltiples respuestas. ^[40] Estos fueron descubiertos por investigadores de la Universidad de Stanford en 2007, lo que los convierte en uno de los tipos de ataques de fuga entre sitios más antiguos que se conocen. ^[20]

Aunque inicialmente se utilizó solo para diferenciar entre el tiempo que tardaba una solicitud HTTP en resolver una respuesta, ^[20] las investigaciones realizadas después de 2007 han demostrado el uso de esta técnica de fuga para detectar otras diferencias entre los estados de las aplicaciones web. En 2017, Vila et al. demostraron que los ataques de sincronización podían inferir tiempos de ejecución de origen cruzado en contextos integrados. Esto fue posible gracias a la falta de funciones de aislamiento de sitios en los navegadores contemporáneos, lo que permitió que un sitio web atacante ralentizara y amplificara las diferencias de sincronización causadas por las diferencias en la cantidad de JavaScript que se ejecutaba cuando se enviaban eventos a una aplicación web víctima. ^{[41] [42]}

En 2021, Knittel et al. demostraron que la API Performance ^{[nota 4]} podía filtrar la presencia o ausencia de redirecciones en las respuestas. Esto fue posible debido a un error en la API Performance que permitía que la cantidad de tiempo que se mostraba al usuario fuera negativa cuando se producía una redirección. Google Chrome corrigió posteriormente este error. ^[44] En 2023, Snyder et al. demostraron que los ataques de sincronización podían utilizarse para realizar ataques de pool-party en los que los sitios web podían bloquear recursos compartidos agotando su cuota global. Al hacer que la aplicación web víctima ejecutara JavaScript que utilizaba estos recursos compartidos y luego cronometrar el tiempo que tardaban estas ejecuciones, los investigadores pudieron revelar información sobre el estado de una aplicación web. ^[45]

Eventos de error

Los eventos de error son una técnica de fuga que permite a un atacante distinguir entre múltiples respuestas mediante el registro de controladores de eventos de error y la escucha de eventos a través de ellos. Debido a su versatilidad y capacidad para filtrar una amplia gama de información, los eventos de error se consideran un vector de fuga clásico entre sitios. ^[46]

Uno de los casos de uso más comunes para los eventos de error en los ataques de fugas entre sitios es determinar las respuestas HTTP adjuntando los controladores de eventos onloady onerrorlos controladores de eventos a un elemento HTML y esperando que ocurran eventos de error específicos. La falta de eventos de error indica que no se produjeron errores HTTP. Por el contrario, si el controlador onerrorse activa con un evento de error específico, el atacante puede usar esa información para distinguir entre tipos de contenido HTTP, códigos de estado y errores de tipo de medio. ^[47] En 2019, investigadores de TU Darmstadt demostraron que esta técnica podría usarse para realizar un ataque de desanonimización dirigido contra usuarios de servicios web populares como Dropbox , Google Docs y GitHub que permiten a los usuarios compartir contenido arbitrario entre sí. ^{[48] [49]}

Desde 2019, las capacidades de los eventos de error se han ampliado. En 2020, Janc et al. demostraron que al establecer el modo de redireccionamiento para una solicitud de búsqueda en manual, un sitio web podría filtrar información sobre si una URL específica es una redirección. ^{[50] [42]} Casi al mismo tiempo, Jon Masas y Luan Herrara demostraron que al abusar de los límites relacionados con las URL, un atacante podría desencadenar eventos de error que podrían usarse para filtrar información de redireccionamiento sobre las URL. ^[51] En 2021, Knittel et al. demostraron que los eventos de error que se generan mediante una verificación de integridad de subrecursos , un mecanismo que se utiliza para confirmar que un subrecurso que carga un sitio web no se ha modificado ni comprometido, también podrían usarse para adivinar el contenido sin procesar de una respuesta HTTP y filtrar la longitud del contenido de la respuesta. ^{[52] [53]}

Ataques de sincronización de caché

Los ataques de sincronización de caché se basan en la capacidad de inferir aciertos y errores en cachés compartidos en la plataforma web. ^[54] Uno de los primeros casos de un ataque de sincronización de caché implicó la realización de una solicitud de origen cruzado a una página y luego la investigación de la existencia de los recursos cargados por la solicitud en el HTTP compartido y el caché DNS . El artículo que describe el ataque fue escrito por investigadores de la Universidad de Purdue en 2000 y describe la capacidad del ataque de filtrar una gran parte del historial de navegación de un usuario al verificar selectivamente si se han cargado recursos que son exclusivos de una página web. ^{[55] [54] [56]}

Este ataque se ha vuelto cada vez más sofisticado, permitiendo la filtración de otros tipos de información. En 2014, Jia et al. demostraron que este ataque podría geolocalizar a una persona midiendo el tiempo que tarda en cargarse el dominio localizado de un grupo de sitios web multinacionales. ^{[54] [57] [58] En 2015, Van Goethem et al. demostraron que, utilizando la} caché de aplicación recién introducida , un sitio web podría indicarle al navegador que ignore y anule cualquier directiva de almacenamiento en caché que envíe el sitio web víctima. El documento también demostró que un sitio web podría obtener información sobre el tamaño de la respuesta almacenada en caché cronometrando el acceso a la caché. ^{[59] [60]}

Límites globales

Los límites globales, también conocidos como ataques pool-party, no dependen directamente del estado de la aplicación web víctima. Esta fuga entre sitios fue descubierta por primera vez por Knittel et al. en 2020 y luego ampliada por Snyder et al. en 2023. ^[45] El ataque abusa de los sistemas operativos globales o las limitaciones de hardware para privar de recursos compartidos. ^[61] Los límites globales que podrían ser abusados ​​incluyen la cantidad de conexiones de socket sin procesar que se pueden registrar y la cantidad de trabajadores de servicio que se pueden registrar. Un atacante puede inferir el estado del sitio web víctima realizando una actividad que active estos límites globales y comparando las diferencias en el comportamiento del navegador cuando se realiza la misma actividad sin que se cargue el sitio web víctima. ^[62] Dado que este tipo de ataques generalmente también requieren canales laterales de temporización , también se consideran ataques de temporización. ^[45]

Otras técnicas

En 2019, Gareth Heyes descubrió que al establecer el hash de la URL de un sitio web en un valor específico y, posteriormente, detectar si se produjo una pérdida de foco en la página web actual, un atacante podría determinar la presencia y la posición de los elementos en un sitio web víctima. ^[63] En 2020, Knittel et al. demostraron que un atacante podría filtrar si Cross-Origin-Opener-Policyse estableció o no un encabezado obteniendo una referencia al windowobjeto de un sitio web víctima mediante el encuadre del sitio web o creando una ventana emergente del sitio web víctima. Usando la misma técnica de obtención de referencias de ventana, un atacante también podría contar la cantidad de marcos que un sitio web víctima tuvo a través de la window.lengthpropiedad. ^{[44] [64]}

Si bien se siguen encontrando técnicas más nuevas, las técnicas más antiguas para realizar fugas entre sitios se han vuelto obsoletas debido a los cambios en las especificaciones del Consorcio World Wide Web (W3C) y las actualizaciones de los navegadores. En diciembre de 2020, Apple actualizó el mecanismo de Prevención de Seguimiento Inteligente (ITP) de su navegador Safari , lo que hizo que una variedad de técnicas de fuga entre sitios que los investigadores de Google habían descubierto fueran ineficaces. ^{[65] [66] [67]} De manera similar, la introducción generalizada de la partición de caché en todos los navegadores principales en 2020 ha reducido la potencia de los ataques de sincronización de caché. ^[68]

Ejemplo

El ejemplo de una aplicación web basada en Python con una interfaz de punto final de búsqueda implementada utilizando la siguiente plantilla Jinja demuestra un escenario común de cómo podría ocurrir un ataque de fuga entre sitios. ^[36]

< html  lang = "es" >< cuerpo >< h2 > Resultados de la búsqueda </ h2 > {% para resultado en resultados %} < div  class = "resultado" > < img  src = "//cdn.com/result-icon.png"  /> {% resultado.descripción %} </div>​​ {% fin para %}</ cuerpo ></html>​​

Este código es una plantilla para mostrar los resultados de una búsqueda en una página web. Recorre una colección de resultados proporcionados por un servidor HTTP y muestra cada resultado junto con su descripción dentro de un elemento div estructurado junto con un icono cargado desde un sitio web diferente. La aplicación subyacente autentica al usuario en función de las cookies que se adjuntan a la solicitud y realiza una búsqueda textual de la información privada del usuario utilizando una cadena proporcionada en un parámetro GET. Para cada resultado devuelto, se muestra un icono que se carga desde una red de entrega de contenido (CDN) junto con el resultado. ^{[32] [69]}

Esta sencilla funcionalidad es vulnerable a un ataque de fuga cruzada, como lo muestra el siguiente fragmento de JavaScript . ^[32]

deje que icon_url = 'https://cdn.com/result-icon.png' ;   iframe .src = 'https://service.com/?q=contraseña ' ;  iframe .onload = async ( ) => {      const inicio = rendimiento . ahora ();    esperar búsqueda ( icon_url );  const duration = performance . now () - inicio ;      si ( duración < 5 ) // recurso cargado desde caché     console.log ( ' La consulta tuvo resultados' ) ; demás console.log ( 'No hay resultados para el parámetro de consulta ' ) ;};

Este fragmento de código JavaScript, que puede incorporarse en una aplicación web controlada por el atacante, carga la aplicación web víctima dentro de un iframe, espera a que se cargue el documento y, posteriormente, solicita el icono a la CDN. El atacante puede determinar si el icono se almacenó en caché cronometrando su retorno. Debido a que el icono solo se almacenará en caché si y solo si la aplicación víctima devuelve al menos un resultado, el atacante puede determinar si la aplicación víctima devolvió algún resultado para la consulta dada. ^{[36] [69] [26]}

Defensas

Antes de 2017, los sitios web podían defenderse de las fugas entre sitios garantizando que se devolviera la misma respuesta para todos los estados de la aplicación, lo que frustraba la capacidad del atacante de diferenciar las solicitudes. Este enfoque era inviable para cualquier sitio web no trivial. El segundo enfoque consistía en crear URL específicas de la sesión que no funcionaran fuera de la sesión de un usuario. Este enfoque limitaba el intercambio de enlaces y era poco práctico. ^{[18] [70]}

La mayoría de las defensas modernas son extensiones del protocolo HTTP que evitan cambios de estado, hacen que las solicitudes de origen cruzado no tengan estado o aíslan por completo los recursos compartidos entre múltiples orígenes. ^[68]

Aislamiento de recursos compartidos

Datos sin procesar del ataque de sincronización de caché analizado en § Ejemplo. Cuando se desactiva la partición de caché, se puede hacer una distinción clara entre las respuestas almacenadas en caché y las que no, mientras que, con la partición de caché, los dos tiempos de respuesta se superponen. ^[71]

  respuesta en caché

  respuesta no almacenada en caché

Uno de los primeros métodos para realizar fugas entre sitios fue el uso de la caché HTTP, un enfoque que se basaba en consultar la caché del navegador en busca de recursos únicos que el sitio web de una víctima pudiera haber cargado. Al medir el tiempo que tardaba una solicitud de origen cruzado en resolver un sitio web atacante, se podía determinar si el recurso estaba almacenado en caché y, de ser así, el estado de la aplicación víctima. ^{[69] [72]} A partir de octubre de 2020 ^[actualizar], la mayoría de los navegadores han implementado la partición de caché HTTP, lo que reduce drásticamente la eficacia de este enfoque. ^[73] La partición de caché HTTP funciona mediante la clave múltiple de cada solicitud almacenada en caché según el sitio web que solicitó el recurso. Esto significa que si un sitio web carga y almacena en caché un recurso, la solicitud almacenada en caché está vinculada a una clave única generada a partir de la URL del recurso y la del sitio web solicitante. Si otro sitio web intenta acceder al mismo recurso, la solicitud se tratará como un error de caché a menos que ese sitio web haya almacenado en caché previamente una solicitud idéntica. Esto evita que un sitio web atacante deduzca si un recurso ha sido almacenado en caché por un sitio web víctima. ^{[74] [75] [76]}

Otra característica más orientada al desarrollador que permite el aislamiento de contextos de ejecución incluye el Cross-Origin-Opener-Policyencabezado (COOP), que se agregó originalmente para abordar problemas de Spectre en el navegador. ^{[77] [78]} Ha demostrado ser útil para prevenir fugas entre sitios porque si el encabezado se configura con una same-origindirectiva como parte de la respuesta, el navegador no permitirá que los sitios web de origen cruzado puedan contener una referencia al sitio web defensor cuando se abre desde una página de terceros. ^{[79] [80] [81]}

Como parte de un esfuerzo por mitigar las fugas entre sitios, los desarrolladores de todos los navegadores principales han implementado particiones de almacenamiento, ^[82] lo que permite que todos los recursos compartidos utilizados por cada sitio web tengan múltiples claves, lo que reduce drásticamente la cantidad de técnicas de inclusión que pueden inferir los estados de una aplicación web. ^[83]

Prevención de cambios de estado

Los ataques de fugas entre sitios dependen de la capacidad de una página web maliciosa de recibir respuestas de origen cruzado de la aplicación víctima. Al impedir que la aplicación maliciosa pueda recibir respuestas de origen cruzado, el usuario ya no corre el riesgo de que se filtren los cambios de estado. ^[84] Este enfoque se observa en defensas como el X-Frame-Optionsencabezado obsoleto y la frame-ancestorsdirectiva más nueva en los encabezados de la Política de seguridad de contenido , que permiten a la aplicación víctima especificar qué sitios web pueden incluirlo como un marco integrado. ^[85] Si la aplicación víctima no permite la incrustación del sitio web en contextos no confiables, la aplicación maliciosa ya no puede observar la respuesta a las solicitudes de origen cruzado realizadas a la aplicación víctima mediante la técnica del marco integrado. ^{[86] [87]}

Un enfoque similar es adoptado por el mecanismo Cross-Origin Resource Blocking (CORB) y el encabezadoCross-Origin-Resource-Policy (CORP) , que permite que una solicitud de origen cruzado tenga éxito pero bloquea la carga del contenido en sitios web de terceros si hay una discrepancia entre el tipo de contenido que se esperaba y el que se recibió. ^[88] Esta característica se introdujo originalmente como parte de una serie de mitigaciones contra la vulnerabilidad Spectre ^[89] pero ha demostrado ser útil para prevenir fugas de origen cruzado porque impide que la página web maliciosa reciba la respuesta y, por lo tanto, infiera cambios de estado. ^{[86] [90] [91]}

Cómo hacer que las solicitudes de origen cruzado no tengan estado

Uno de los enfoques más eficaces para mitigar las fugas entre sitios ha sido el uso del SameSiteparámetro en cookies . Una vez establecido en Laxo Strict, este parámetro evita que el navegador envíe cookies en la mayoría de las solicitudes de terceros, lo que hace que la solicitud no tenga estado. ^{[nota 5] [91]} Sin embargo, la adopción de Same-Sitecookies ha sido lenta porque requiere cambios en la forma en que operan muchos servidores web especializados, como los proveedores de autenticación. ^[93] En 2020, los creadores del navegador Chrome anunciaron que activarían SameSite=Laxcomo estado predeterminado las cookies en todas las plataformas. ^{[94] [95]} A pesar de esto, todavía hay casos en los que SameSite=Laxno se respetan las cookies, como LAX+POSTla mitigación de Chrome, que permite que un sitio de origen cruzado use una SameSite=Laxcookie en una solicitud si y solo si la solicitud se envía mientras se navega por la página y ocurre dentro de los dos minutos posteriores a la configuración de la cookie. ^[92] Esto ha dado lugar a omisiones y soluciones alternativas contra la SameSite=Laxlimitación que aún permiten que se produzcan fugas entre sitios. ^{[96] [97]}

Los encabezados de metadatos de obtención, que incluyen el encabezado Sec-Fetch-Site, Sec-Fetch-Modey , que proporcionan información sobre el dominio que inició la solicitud, detalles sobre el inicio de la solicitud y el destino de la solicitud respectivamente al servidor web defensor, también se han utilizado para mitigar los ataques de fugas entre sitios. Sec-Fetch-User[ ^98] Estos encabezados permiten al servidor web distinguir entre solicitudes legítimas de terceros del mismo sitio y solicitudes dañinas de origen cruzado. Al discriminar entre estas solicitudes, el servidor puede enviar una respuesta sin estado a solicitudes maliciosas de terceros y una respuesta con estado a solicitudes rutinarias del mismo sitio. ^[99] Para evitar el uso abusivo de estos encabezados, una aplicación web no puede configurar estos encabezados, que solo deben ser configurados por el navegador. ^{[100] [75]}Sec-Fetch-Dest

Véase también

• Intercambio de recursos de origen cruzado
• Política del mismo origen
• Scripting entre sitios
• Falsificación de solicitudes entre sitios

Referencias

Notas

1. Si bien existen otras formas posibles de interacción entre navegadores web y servidores web (como el protocolo WebRTC ), en el contexto de fugas entre sitios, solo las interacciones HTTP y las conexiones WebSocket se consideran importantes. ^[1] El resto del artículo asumirá que las interacciones HTTP y las conexiones WebSocket son las únicas dos formas en que los navegadores web pueden interactuar con los servidores web.
2. Esto incluye metadatos asociados con la respuesta, como códigos de estado y encabezados HTTP ^[16]
3. Un ejemplo de este tipo de consulta podría ser el nombre de un banco conocido o la información de contacto de una persona u organización con la que se espera que el usuario haya interactuado. ^[17]
4. La API de rendimiento es un conjunto de funciones de Javascript que permiten a los sitios web recuperar varias métricas asociadas con el rendimiento web ^[43]
5. La configuración de la Strictdirectiva garantiza que todas las solicitudes entre sitios no tengan estado, mientras que Laxpermite que el navegador envíe cookies para solicitudes que no cambian el estado (es decir, GETo HEAD) que se envían mientras se navega a una página diferente de la página de origen cruzado. ^[92]

Citas

1. Knittel y col. 2021, págs.1773, 1776.
2. "Cómo funciona la web: aprenda sobre desarrollo web | MDN". MDN Web Docs . 24 de julio de 2023. Archivado desde el original el 24 de septiembre de 2023 . Consultado el 1 de octubre de 2023 .
3. Wagner, David; Weaver, Nicholas; Kao, Peyrin; Shakir, Fuzail; Law, Andrew; Ngai, Nicholas. "Cookies y gestión de sesiones". Libro de texto de seguridad informática CS-161 de UC Berkeley . Consultado el 24 de marzo de 2024 .
4. Sudhodanan, Khodayari y Caballero 2020, págs.
5. Zalewski 2011, pág. 15.
6. Schwenk, Niemietz y Mainka 2017, pág. 713.
7. Zalewski 2011, pág. 16.
8. Somé 2018, págs. 13-14.
9. "Política del mismo origen - Seguridad en la web | MDN". MDN Web Docs . 20 de diciembre de 2023 . Consultado el 24 de marzo de 2024 .
10. Knittel y col. 2021, pág. 1774.
11. Van Goethem y otros. 2021, pág. 1.
12. Rautenstrauch, Pellegrino & Stock 2023, pág. 2747.
13. Van Goethem y otros. 2022, pág. 787.
14. Gelernter y Herzberg 2015, págs. 1399-1402.
15. Sudhodanan, Khodayari & Caballero 2020, p. 1.
16. Van Goethem et al. 2016, pág. 448.
17. Gelernter y Herzberg 2015, pág. 1400.
18. Rautenstrauch, Pellegrino & Stock 2023, p. 2754.
19. Felten y Schneider 2000, págs.25, 26, 27, 31.
20. Bortz y Boneh 2007, págs.
21. Gelernter y Herzberg 2015, págs. 1394-1397.
22. Walker, James (21 de marzo de 2019). «Las nuevas técnicas de XS-Leak revelan nuevas formas de exponer la información del usuario». The Daily Swig . Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .
23. Van Goethem y otros. 2021, págs.1, 6.
24. Herrera, Luan (31 de marzo de 2019). «XS-Buscando en el rastreador de errores de Google para encontrar código fuente vulnerable». Medium . Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .
25. Knittel y col. 2021, pág. 1772.
26. Terjanq. «Búsqueda masiva XS mediante ataque de caché – HackMD». GitHub . Archivado desde el original el 29 de octubre de 2023 . Consultado el 29 de octubre de 2023 .
27. Van Goethem y otros. 2021, pág. 10.
28. Rautenstrauch, Pellegrino & Stock 2023, pág. 2756.
29. Sudhodanan, Khodayari y Caballero 2020, pag. 2.
30. Knittel y col. 2021, pág. 1773.
31. "Simposio IEEE sobre seguridad y privacidad 2023". sp2023.ieee-security.org . Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .
32. Van Goethem y otros. 2022, pág. 786.
33. Sudhodanan, Khodayari y Caballero 2020, pag. 11.
34. Van Goethem y col. 2022, pág. 788.
35. Rautenstrauch, Pellegrino & Stock 2023, pág. 2745.
36. Van Goethem y otros. 2022, pág. 785.
37. Van Goethem y otros. 2022, pág. 784.
38. Rautenstrauch, Pellegrino & Stock 2023, pág. 2748.
39. Rautenstrauch, Pellegrino & Stock 2023, págs.
40. Van Goethem y otros. 2022, págs.796, 797.
41. Vila y Köpf 2017, págs. 851–853.
42. Van Goethem et al. 2022, pág. 796.
43. "Rendimiento - API web | MDN". Documentos web de MDN . 19 de febrero de 2023. Consultado el 11 de marzo de 2024 .
44. Knittel y col. 2021, pág. 1778.
45. Snyder y otros, 2023, pág. 7095.
46. Knittel y col. 2021, pág. 1775.
47. Knittel y col. 2021, págs.1775, 1785.
48. Staicu y Pradel 2019, págs.924, 930.
49. Zaheri, Oren y Curtmola 2022, p. 1505.
50. Knittel y col. 2021, pág. 1785.
51. Knittel y col. 2021, págs.1777, 1785.
52. Knittel y col. 2021, págs.1778, 1782.
53. Van Goethem y otros. 2022, pág. 789.
54. Mishra y otros, 2021, pág. 404.
55. Felten y Schneider 2000, págs.25, 28, 29.
56. Bansal, Preibusch y Milic-Frayling 2015, pág. 97.
57. Jia et al. 2015, págs. 1, 2.
58. Bansal, Preibusch y Milic-Frayling 2015, p. 99.
59. Van Goethem, Joosen y Nikiforakis 2015, págs.1385, 1386.
60. Kim, Lee y Kim 2016, págs. 411–413.
61. Snyder y col. 2023, págs. 7096, 7097.
62. Knittel y col. 2021, págs. 1782, 1776-1778.
63. "XS-Leak: Filtración de identificaciones mediante el foco". PortSwigger Research . 8 de octubre de 2019. Archivado desde el original el 28 de diciembre de 2023. Consultado el 28 de diciembre de 2023 .
64. Van Goethem y otros. 2022, pág. 797.
65. Ng, Alfred. "Google descubre que la función anti-rastreo de Apple Safari en realidad habilitaba el rastreo". CNET . Archivado desde el original el 11 de diciembre de 2023. Consultado el 28 de diciembre de 2023 .
66. Wilander, John (10 de diciembre de 2019). «Prevención del seguimiento Prevención del seguimiento». WebKit . Archivado desde el original el 16 de noviembre de 2023. Consultado el 28 de diciembre de 2023 .
67. Janc, Artur; Kotowicz, Krzysztof; Weichselbaum, Lukas; Clapis, Roberto. "Fugas de información a través de la prevención de seguimiento inteligente de Safari". Investigación de Google . Archivado desde el original el 28 de diciembre de 2023. Consultado el 28 de diciembre de 2023 .
68. Knittel y col. 2021, pág. 1780.
69. Felten y Schneider 2000, pág. 26.
70. Zaheri y Curtmola 2021, pág. 160.
71. Felten y Schneider 2000, págs.27, 28, 29.
72. Mishra y otros. 2021, pág. 399.
73. Doan y otros. 2022.
74. Kitamura, Eiji (6 de octubre de 2020). «Ganar seguridad y privacidad mediante la partición de la caché». Chrome para desarrolladores . Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .
75. Van Goethem et al. 2021, pág. 7.
76. Bannister, Adam (13 de octubre de 2020). «Google Chrome particiona la caché HTTP del navegador para defenderse de los ataques XS-Leak». The Daily Swig . Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .
77. Reis, Moshchuk y Oskov 2019, pág. 1674.
78. Van Goethem, Sánchez-Rola y Joosen 2023, p. 379.
79. Van Goethem y otros. 2022, pág. 792.
80. "Cross-Origin-Opener-Policy – ​​HTTP | MDN". Documentos web de MDN . 10 de abril de 2023. Archivado desde el original el 31 de octubre de 2023. Consultado el 31 de octubre de 2023 .
81. Kitamura, Eiji. "Cómo hacer que su sitio web sea "de origen cruzado" usando COOP y COEP | Artículos". web.dev . Archivado desde el original el 31 de octubre de 2023 . Consultado el 31 de octubre de 2023 .
82. Snyder y col. 2023, pág. 7092.
83. "Particionamiento de estados - Privacidad en la web | MDN". MDN Web Docs . 24 de julio de 2023 . Consultado el 5 de febrero de 2024 .
84. Van Goethem y otros. 2022, pág. 791.
85. Calzavara y col. 2020, págs.684, 685.
86. Van Goethem et al. 2021, pág. 5.
87. "X-Frame-Options – HTTP | MDN". Documentos web de MDN . 25 de julio de 2023. Archivado desde el original el 27 de octubre de 2023. Consultado el 29 de octubre de 2023 .
88. "Bloqueo de lectura de origen cruzado (CORB)". Chromium Gerrit . Archivado desde el original el 7 de noviembre de 2023 . Consultado el 7 de noviembre de 2023 .
89. Reis, Moshchuk y Oskov 2019, págs.1665, 1666.
90. "Política de recursos de origen cruzado (CORP) – HTTP | MDN". Documentos web de MDN . 10 de mayo de 2023. Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .
91. Knittel y col. 2021, pág. 1781.
92. Khodayari y Pellegrino 2022, p. 1592.
93. Khodayari y Pellegrino 2022, pag. 1590.
94. Khodayari y Pellegrino 2022, págs.1596, 1600.
95. Compagna y col. 2021, págs. 50–51.
96. "Cómo eludir las restricciones de cookies de SameSite | Web Security Academy". Portswigger Research . Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .
97. Khodayari y Pellegrino 2022, págs. 1596-1598.
98. Weichselbaum, Lukas. "Proteja sus recursos de ataques web con Fetch Metadata | Artículos". web.dev . Archivado desde el original el 7 de noviembre de 2023 . Consultado el 7 de noviembre de 2023 .
99. Beer y otros 2021.
100. "Sec-Fetch-Site – HTTP | MDN". Documentos web de MDN . 25 de octubre de 2023. Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .

Fuentes

• Bansal, Chetan; Preibusch, Sören; Milic-Frayling, Natasa (2015). "Revisión de los ataques de sincronización de caché: rastreo eficiente y repetible del historial del navegador, el sistema operativo y la red". En Federrath, Hannes; Gollmann, Dieter (eds.). Seguridad de los sistemas de TIC y protección de la privacidad . IFIP Avances en tecnología de la información y la comunicación. Vol. 455. Springer International Publishing. págs. 97–111. doi : 10.1007/978-3-319-18467-8_7 . ISBN 978-3-319-18467-8.S2CID8676881 .​ ​
• Beer, Philip; Veronese, Lorenzo; Squarcina, Marco; Lindorfer, Martina (6 de septiembre de 2021). El puente entre las aplicaciones web y las plataformas móviles sigue roto (PDF) . 2023 IEEE 8th European Symposium on Security and Privacy (EuroS&P), SecWeb Workshop Proceedings. Archivado (PDF) del original el 7 de noviembre de 2023 . Consultado el 7 de noviembre de 2023 . Los encabezados de solicitud HTTP Fetch Metadata [45] son ​​un conjunto de encabezados HTTP que proporcionan el contexto de la solicitud HTTP al servidor. El servidor puede usar el contexto para determinar si la solicitud es maliciosa o debe permitirse.
• Bortz, Andrew; Boneh, Dan (8 de mayo de 2007). "Exposición de información privada mediante el cronometraje de aplicaciones web". Actas de la 16.ª conferencia internacional sobre la World Wide Web . WWW '07. Association for Computing Machinery. págs. 621–628. doi :10.1145/1242572.1242656. ISBN . 978-1-59593-654-7.S2CID7399871 .​ ​
• Calzavara, Stefano; Roth, Sebastian; Rabitti, Alvise; Backes, Michael; Stock, Ben (2020). "Una historia de dos encabezados: un análisis formal de la protección inconsistente contra el secuestro de clics en la Web". SEC'20: Actas del 29.º Simposio de la Conferencia USENIX sobre Seguridad : 683–697. ISBN 978-1-939133-17-5.S2CID214631428 .​ ​
• Compagna, Luca; Jonker, Hugo; Krochewski, Johannes; Krumnow, Benjamin; Sahin, Merve (1 de septiembre de 2021). "Un estudio preliminar sobre la adopción y la eficacia de las cookies SameSite como defensa CSRF". Talleres del Simposio Europeo sobre Seguridad y Privacidad del IEEE de 2021 (EuroS&PW) . IEEE. págs. 49–59. doi :10.1109/EuroSPW54576.2021.00012. ISBN . 978-1-6654-1012-0.S2CID240156960  .​
• Doan, Trinh Viet; van Rijswijk-Deij, Roland; Hohlfeld, Oliver; Bajpai, Vaibhav (12 de febrero de 2022). "Una visión empírica de la consolidación de la Web". ACM Transactions on Internet Technology . 22 (3): 70:1–70:30. doi :10.1145/3503158. ISSN  1533-5399. S2CID  246803043 . Si bien las implementaciones recientes de navegadores [69, 113] abordan este problema mediante la partición de caché HTTP, esta solución da como resultado un mayor volumen de tráfico y tiempos de carga más altos, ya que los recursos almacenados en caché se vuelven a obtener si se solicitan en un contexto diferente.
• Somé, Dolière Francis (29 de octubre de 2018). Seguridad y privacidad de las aplicaciones web (tesis doctoral). Université Côte d'Azur.
• Felten, Edward W.; Schneider, Michael A. (1 de noviembre de 2000). "Timing attack on Web privacy". Actas de la 7.ª conferencia de la ACM sobre seguridad informática y de las comunicaciones . Association for Computing Machinery. págs. 25–32. doi : 10.1145/352600.352606 . ISBN. 978-1-58113-203-8. Número de identificación del sujeto  456809.
• Gelernter, Nethanel; Herzberg, Amir (12 de octubre de 2015). "Ataques de búsqueda entre sitios". Actas de la 22.ª Conferencia ACM SIGSAC sobre seguridad informática y de las comunicaciones . CCS '15. Association for Computing Machinery. págs. 1394–1405. doi :10.1145/2810103.2813688. ISBN . 978-1-4503-3832-5. Número de identificación del sujeto  14924784 .
• Jia, Yaoqi; Dong, Xinshu; Liang, Zhenkai; Saxena, Prateek (1 de enero de 2015). "Sé dónde has estado: ataques de geoinferencia a través de la caché del navegador". IEEE Internet Computing . 19 (1): 44–53. doi :10.1109/MIC.2014.103. ISSN  1089-7801. S2CID  16087472.
• Khodayari, Soheil; Pellegrino, Giancarlo (2022). "El estado de SameSite: estudio del uso, la eficacia y la idoneidad de las cookies de SameSite". Simposio IEEE sobre seguridad y privacidad de 2022 (SP) . IEEE. págs. 1590–1607. doi : 10.1109/SP46214.2022.9833637 . ISBN . 978-1-6654-1316-9.S2CID251140677 .​ ​
• Kim, Hyungsub; Lee, Sangho; Kim, Jong (5 de diciembre de 2016). "Inferir la actividad y el estado del navegador mediante la monitorización remota del uso del almacenamiento". Actas de la 32.ª Conferencia Anual sobre Aplicaciones de Seguridad Informática . ACSAC '16. Association for Computing Machinery. págs. 410–421. doi :10.1145/2991079.2991080. ISBN . 978-1-4503-4771-6. S2CID  10483542 – a través de la Biblioteca de la Universidad Estatal de Arizona.
• Knittel, Lukas; Mainka, Christian; Niemietz, Marcus; Noß, Dominik Trevor; Schwenk, Jörg (12 de noviembre de 2021). «XSinator.com: de un modelo formal a la evaluación automática de fugas entre sitios en navegadores web». Actas de la Conferencia ACM SIGSAC de 2021 sobre seguridad informática y de las comunicaciones . Association for Computing Machinery. págs. 1771–1788. doi : 10.1145/3460120.3484739 . ISBN . 978-1-4503-8454-4. Número de identificación del sujeto  244077807.
• Mishra, Vikas; Laperdrix, Pierre; Rudametkin, Walter; Rouvoy, Romain (2021). «Déjà vu: Abusando de los encabezados de caché del navegador para identificar y rastrear usuarios en línea». Actas sobre tecnologías que mejoran la privacidad . 2021 (2): 391–406. doi : 10.2478/popets-2021-0033 . hdl : 20.500.12210/57495 . ISSN  2299-0984. S2CID  231779262. Archivado desde el original el 29 de octubre de 2023. Consultado el 29 de octubre de 2023 .
• Rautenstrauch, Jannis; Pellegrino, Giancarlo; Stock, Ben (21 de mayo de 2023). "La Web con fugas: descubrimiento automatizado de fugas de información entre sitios en navegadores y la Web". Simposio IEEE sobre seguridad y privacidad (SP) de 2023. IEEE. págs. 2744–2760. doi :10.1109/SP46215.2023.10179311. ISBN . 978-1-6654-9336-9. S2CID  259321089 – a través de CISPA – Base de datos de publicaciones del Centro Helmholtz para la seguridad de la información.
• Reis, Charles; Moshchuk, Alexander; Oskov, Nasko (2019). "Aislamiento de sitios: separación de procesos para sitios web dentro del navegador". SEC'19: Actas del 28.º Simposio de la Conferencia USENIX sobre Seguridad . Asociación USENIX. págs. 1661–1678. ISBN 978-1-939133-06-9. S2CID  199522067 . Archivado desde el original el 7 de noviembre de 2023 . Consultado el 7 de noviembre de 2023 .
• Schwenk, Jörg; Niemietz, Marco; Mainka, cristiano (2017). Política {Same-Origin}: Evaluación en navegadores modernos. Asociación USENIX. págs. 713–727. ISBN 978-1-931971-40-9.S2CID9641053 .​ ​
• Snyder, Peter; Karami, Soroush; Edelstein, Arthur; Livshits, Benjamin; Haddadi, Hamed (26 de octubre de 2023). "Pool-party: explotación de los grupos de recursos del navegador para el seguimiento web". Actas del 32.º Simposio de la Conferencia USENIX sobre Seguridad . SEC '23. Asociación USENIX: 7091–7105. ISBN 978-1-939133-37-3.
• Staicu, Cristian-Alexandru; Pradel, Michael (2019). "Imágenes filtradas: ataques dirigidos a la privacidad en la Web". Actas del 28.º Simposio de la Conferencia USENIX sobre Seguridad . SEC '19: 923–939. ISBN 978-1-939133-06-9.S2CID156052170 .​ ​
• Sudhodanan, Avinash; Khodayari, Soheil; Caballero, Juan (2020). "Ataques de inferencia de estado de origen cruzado (COSI): fuga de estados de sitios web a través de XS-Leaks". Actas del Simposio sobre seguridad de redes y sistemas distribuidos de 2020. Internet Society. doi : 10.14722/ndss.2020.24278 . ISBN 978-1-891562-61-7.S2CID 199452779  .
• Van Goethem, Tom; Franken, Gertjan; Sanchez-Rola, Iskander; Dworken, David; Joosen, Wouter (6 de septiembre de 2021). Understanding Cross-site Leaks and Defenses (PDF) ( Comprensión de las fugas y defensas entre sitios) . 2023 IEEE 8th European Symposium on Security and Privacy (EuroS&P), SecWeb Workshop Proceedings (Actas del taller SecWeb). pág. 1. Archivado (PDF) del original el 11 de octubre de 2023 . Consultado el 11 de octubre de 2023 .
• Van Goethem, Tom; Franken, Gertjan; Sanchez-Rola, Iskander; Dworken, David; Joosen, Wouter (30 de mayo de 2022). "SoK: Explorando las direcciones de investigación actuales y futuras sobre XS-Leaks a través de un modelo formal extendido". Actas de la Conferencia de 2022 de la ACM sobre seguridad informática y de las comunicaciones en Asia . Association for Computing Machinery. págs. 784–798. doi : 10.1145/3488932.3517416 . ISBN . 978-1-4503-9140-5. Número de identificación del sujeto  248990284. Este artículo incorpora texto de Tom Van Goethem, Gertjan Franken, Iskander Sanchez-Rola, David Dworken y Wouter Joosen disponible bajo la licencia CC BY 4.0.
• Van Goethem, Tom; Sanchez-Rola, Iskander; Joosen, Wouter (2023). "Secuaces con scripts: aprovechamiento de XS-Leaks para la detección de vulnerabilidades entre sitios". Talleres de seguridad y privacidad del IEEE (SPW) de 2023. IEEE. págs. 371–383. doi :10.1109/SPW59333.2023.00038. ISBN . 979-8-3503-1236-2. S2CID  259267534 . Consultado el 7 de noviembre de 2023 .
• Van Goethem, Tom; Vanhoef, Mathy; Piessens, Frank; Joosen, Wouter (2016). Solicite y conquiste: exponiendo el tamaño de los recursos {de origen cruzado}. págs. 447–462. ISBN 978-1-931971-32-4.
• Van Goethem, Tom; Joosen, Wouter; Nikiforakis, Nick (12 de octubre de 2015). "El tiempo sigue corriendo: ataques de sincronización en la Web moderna". Actas de la 22.ª Conferencia ACM SIGSAC sobre seguridad informática y de las comunicaciones . CCS '15. Association for Computing Machinery. págs. 1382–1393. doi :10.1145/2810103.2813632. ISBN . 978-1-4503-3832-5.S2CID17705638 .​ ​
• Vila, Pepe; Köpf, Boris (2017). "Loophole: ataques de sincronización en bucles de eventos compartidos en Chrome". SEC'17: Actas del 26.º Simposio de Seguridad de la Conferencia USENIX : 849–864. arXiv : 1702.06764 . ISBN 978-1-931971-40-9.
• Zaheri, Mojtaba; Curtmola, Reza (2021). "Leakuidator: ataques a recursos con fugas y contramedidas". En Garcia-Alfaro, Joaquin; Li, Shujun; Poovendran, Radha; Debar, Hervé; Yung, Moti (eds.). Seguridad y privacidad en redes de comunicación . Apuntes de las clases del Instituto de Ciencias de la Computación, Informática Social e Ingeniería de Telecomunicaciones. Vol. 399. Springer International Publishing. págs. 143–163. doi : 10.1007/978-3-030-90022-9_8 . ISBN 978-3-030-90022-9. Número de identificación del sujeto  237476137.
• Zaheri, Mojtaba; Oren, Yossi; Curtmola, Reza (2022). "Desanonimización dirigida a través del canal lateral de caché: ataques y defensas". Actas del 31.º Simposio de la Conferencia USENIX sobre Seguridad . SEC '22: 1505–1523. ISBN 978-1-939133-31-1.S2CID251092191 .​ ​
• Zalewski, Michal (15 de noviembre de 2011). La red enredada: una guía para proteger las aplicaciones web modernas. No Starch Press. ISBN 978-1-59327-388-0.

Lectura adicional

• Knittel, Lukas; Mainka, Christian; Niemietz, Marcus; Noß, Dominik Trevor; Schwenk, Jörg (12 de noviembre de 2021). «XSinator.com: de un modelo formal a la evaluación automática de fugas entre sitios en navegadores web». Actas de la Conferencia ACM SIGSAC de 2021 sobre seguridad informática y de las comunicaciones . Association for Computing Machinery. págs. 1771–1788. doi : 10.1145/3460120.3484739 . ISBN . 978-1-4503-8454-4. Número de identificación del sujeto  244077807.
• Rautenstrauch, Jannis; Pellegrino, Giancarlo; Stock, Ben (21 de mayo de 2023). "La Web con fugas: descubrimiento automatizado de fugas de información entre sitios en navegadores y la Web". Simposio IEEE sobre seguridad y privacidad (SP) de 2023. IEEE. págs. 2744–2760. doi :10.1109/SP46215.2023.10179311. ISBN . 978-1-6654-9336-9. S2CID  259321089 – a través de CISPA – Base de datos de publicaciones del Centro Helmholtz para la seguridad de la información.
• Van Goethem, Tom; Franken, Gertjan; Sanchez-Rola, Iskander; Dworken, David; Joosen, Wouter (30 de mayo de 2022). "SoK: Explorando las direcciones de investigación actuales y futuras sobre XS-Leaks a través de un modelo formal extendido". Actas de la Conferencia de 2022 de la ACM sobre seguridad informática y de las comunicaciones en Asia . Association for Computing Machinery. págs. 784–798. doi : 10.1145/3488932.3517416 . ISBN . 978-1-4503-9140-5. Número de identificación del sujeto  248990284.
• Van Goethem, Tom; Franken, Gertjan; Sanchez-Rola, Iskander; Dworken, David; Joosen, Wouter (6 de septiembre de 2021). Understanding Cross-site Leaks and Defenses (PDF) ( Comprensión de las fugas y defensas entre sitios) . 2023 IEEE 8th European Symposium on Security and Privacy (EuroS&P), SecWeb Workshop Proceedings (Actas del taller SecWeb). pág. 1. Archivado (PDF) del original el 11 de octubre de 2023 . Consultado el 11 de octubre de 2023 .

Enlaces externos

• "XSLeaks Wiki - Introducción". xsleaks.dev .
• "XSinator - Suite de pruebas de navegador XS-Leak". xsinator.com .