从https://developer.mozilla.org/en-US/docs/Web/HTTP/Authentication,它说:
浏览器最近修复的一个潜在安全漏洞是跨站点图像的身份验证。从 Firefox 59 开始,从不同来源加载到当前文档的图像资源不再能够触发 HTTP 身份验证对话框(错误 1423146),如果攻击者能够将任意图像嵌入到第三方页面中,则可以防止用户凭据被盗。
用户凭据如何被盗?认证发生在用户和图片来源网站之间,不涉及“第三方页面”网站。
为什么从不同来源加载的图像资源会触发 HTTP 身份验证对话框是有害的?
信息安全
http-基本身份验证
2021-08-24 21:55:18
1个回答
正如错误报告中所述,问题是出现了一个身份验证对话框trustworthy.com,所以不经意的用户(老实说,许多用户也很注意)会输入他们的用户名和密码,而没有意识到他们实际上是在发送它到malicious.com. 将此与外观非常相似的域(例如 )结合起来,用户不会trustw0rthy.com泄露其凭据的唯一原因是因为他们以前从未见过使用基本身份验证,这使他们感到怀疑。trustworthy.com
举个例子:
假设您的网上银行bank.com要求您通过基本身份验证登录。现在攻击将像这样进行:
- 攻击者设法将他的图像嵌入到用户(您)将加载图像的
malicious.com某处。bank.com - 您加载
bank.com嵌入攻击者图像的页面,浏览器会弹出一个基本身份验证对话框。 - 您输入您的用户名和密码
bank.com,认为该站点要求您登录,但浏览器会将它们发送到malicious.com。