研究人员发现了14种针对现代浏览器的跨站点数据泄漏攻击，包括Tor浏览器、Mozilla Firefox、谷歌Chrome、Microsoft Edge、Apple Safari和Opera等。

这些浏览器漏洞统称为“XS-Leaks”，使恶意网站能够在访问者不知情的情况下在后台与其他网站交互时从访问者那里收集个人数据。

该调查是由一组来自波鸿鲁尔大学(RUB)和莱茵大学的学者所开展的跨站攻击的综合研究的结果。

研究人员在一份声明中表示：“XS-Leaks 绕过了所谓的同源策略，这是浏览器抵御各种类型攻击的主要防御措施之一。”

“同源策略的目的是防止信息从受信任的网站被盗。在 XS-Leaks的情况下，攻击者仍然可以识别网站的个别小细节。如果这些细节与个人数据相关联，这些数据可能会泄露。”

这些漏洞源于网页平台中内置的支线通道，允许攻击者从跨源的HTTP资源中收集这些数据，跨站点漏洞影响了一系列流行的浏览器，如Tor、Chrome、Edge、Opera、Safari Firefox、Samsung Internet，跨越不同的操作系统Windows、macOS、Android和iOS。

新类别的漏洞也不同于跨站点请求伪造 ( CSRF ) 攻击，后者利用Web应用程序对浏览器客户端的信任来代表用户执行意外操作，它们可以被武器化为推断有关用户的信息。

研究人员解释称:“它们是对互联网隐私的重大威胁，因为仅仅是浏览一个网页就可能暴露受害者的个人喜好倾向。”“XS-Leaks利用网站之间互动时暴露的小块信息来揭露用户的敏感信息，比如他们在其他web应用程序中的数据，他们本地环境的细节，或者他们连接的内部网络。”

其核心思想是，由于同源限制，网站不允许直接访问其他网站上的数据(即，读取服务器响应)，流氓在线门户网站可以尝试从一个网站加载特定的资源或API端点，比如一个在线银行网站，并推断出受害者的交易历史。或者，泄漏的来源可能是基于时间的侧通道或投机性执行攻击，如Meltdown和Spectre。

作为缓解措施，研究人员建议拒绝所有事件处理程序消息，最大限度地减少错误消息的发生，应用全局限制限制，并在发生重定向时创建新的历史属性。

在终端用户端，在Firefox中打开第一方隔离和增强跟踪预防已经被发现降低了XS-Leaks的适用性。Safari的智能跟踪预防功能，在默认情况下会阻止第三方cookie，还能防止所有非基于弹出窗口的泄露。

研究人员说:“大多数XS-Leaks的根本原因是固有的网页设计。”“通常情况下，应用程序在没有任何错误操作的情况下，很容易受到跨站点信息泄露的影响。在浏览器层面修复XS-Leaks漏洞的根本原因是一个挑战，因为在很多情况下，这样做会破坏现有的网站。”

随着数据泄露事件的频繁发生，任何小型数据泄露都可能给黑客机会，从而将一些小漏洞链接起来产生破坏性极强的影响。

软件安全关系着数据安全，更影响着社会生活的正常运转。美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)有数据显示，90%以上的网络安全问题是由软件自身的安全漏洞被利用导致!而在OWASP Top10中，其中60-70%的安全漏洞类型是通过 源代码静态分析技术检测出来。

随着对网络安全加大重视力度，越来越多的企业从软件开发时就利用代码安全检测等手段通过加强代码安全以减少系统漏洞，从而在一定程度上提高软件安全，降低因系统漏洞被攻击引起的网络安全风险。

参读链接：

https://thehackernews.com/2021/12/14-new-xs-leaks-cross-site-leaks.html