XS-Leaks. XSS para extraer información sobre los usuarios
En Introduction to Cross-Site Leaks (XS-Leaks) – Attacks and Mitigations hay una introducción a este ataque, que sirve para recolectar información acerca de los usuarios, a través de fallos de programación cruzada (Cross-site scripting (XSS)) y la utilización estos fallos para acceder a información como atributos de los usuarios, permisos, papeles (roles). Y también al historia de palabras de búsqueda y otras informaciones que se almacenan en memorias temporales (caches).
XS-Leaks then allow attackers to collect information about website visitors that is usually not available. This information can give the attacker clues about the user’s identity. This can include if the victim is logged into other web applications allowing access to user attributes, permissions, or roles. Additionally, a victim’s keyword search history can be queried as well as privately cached browser objects, such as images, based on how the website caches these resources.
Interesante.