Perpetuum informatio


Category Archive

The following is a list of all entries from the Security category.

Вектор атаки на приложения с помощью активации деактивированных элементов интерфейса

Подавляющее большинство современных windows приложений использует стандартные элементы управления для собственных интерфейсов. Большое число приложений из этой группы реализует механизмы разграничения прав пользователей, выраженные в пользовательском интерфейсе при помощи соответствующих элементов управления. Это всем нам знакомые элементы выбора (radio button), флаги (check box), выпадающие списки (drop down menu) и некоторые другие.

Идея защиты в рассмотренных выше приложениях очень проста, если пользователь работающий с приложением имеет достаточно прав, то элементы интерфейса являются активными и пользователь может с ними взаимодействовать, меняя таким уровнем некоторые “привилегированные” параметры. В случае же если у пользователя таких прав недостаточно, то данные элементы становятся неактивными (визуально выражено, как более тусклая окраска или серый фон) и непривилегированный пользователь лишается возможности взаимодействия с этими элементами интерфейса. Идея элементарна, но в ней существует один очень  серьёзный недостаток.

Continue reading this entry »

Реклама