Man-in-the-browser -hyökkäyksistä Ajax-sovelluksissa



Sampsa Rauti, Ville Leppänen

Sasu Tarkoma, Joni-Kristian Kämäräinen, Tapio Pahikkala

2012

Julkaisusarja - helsingin yliopisto. tietojenkäsittelytieteen laitos. b. raportti

Proceedings of Federated Computer Science Event 2012

58

59

978-952-10-8024-1

1458-4786


Man-in-the-browser on verkkoselaimeen asentuva haittaohjelma, joka pystyy muokkaamaan verkkosivujen ulkomuotoa ja verkkoliikennettä. Haittaohjelma toimii käyttäjän ja verkkopalvelimen välissä muokaten tietoja ja esittäen kummallekin olevansa toinen osapuoli, eikä käyttäjä tai palvelin huomaa tilanteessa mitään epäilyttävää. Ohjelma voi myös taltioida tietoja, mutta tässä keskitymme datan muokkaamiseen.

Man-in-the-browser -hyökkäystä voidaan siis pitää perinteisen man-in-the-middle -hyökkäyksen alatyyppinä ja kehittyneempänä muotona. Koska käyttäjän koneelle on paljon helpompi hyökätä kuin palvelimille, näiden haittaohjelmien määrä on viime vuosina kasvanut nopeasti. Hyökkäys voidaan toteuttaa esimerkiksi käyttämällä selainlaajennuksia. Tässä artikkelissa esitellään erilaisia Firefox-selainlaajennuksiin perustuvia man-in-the-browser -hyökkäyksiä Ajax-sovelluksissa ja ehdotetaan niihin vastatoimenpiteitä.



Last updated on 2024-26-11 at 17:19