Егор Хомяков рассказывает, как хакеры могут надолго внедрить в браузеры посетителей сайта вредный джаваскрипт с помощью AppCache.

AppCache — это технология для создания прогрессивных веб-приложений. В подключенном на страницу манифесте сайт перечисляет файлы (страницы, стили, скрипты, изображения), и они скачиваются на компьютер пользователя. При дальнейших запросах к сайту эти файлы будут браться уже с компьютера, а не скачиваться с сервера. Если закешировать достаточный набор файлов, сайт будет работать без интернета.

Проблема в том, что если прописать в манифесте ссылку на сам манифест, то он закешируется навсегда.

Хакеры могут использовать это. Например, они получили доступ к серверу или организовали перехват и подмену трафика между клиентом и сервером. Они меняют код страниц, чтобы добавить свои джаваскрипт и манифест. В манифесте включено кеширование этих страниц, а заодно и самого манифеста. Таким образом, вредный код останется на компьютере пользователей даже после того, как атака прекратится.

Бороться с этим владельцы сайта могут двумя способами: возвращать ошибку 404 или 410 по адресу, где был расположен манифест, или попросить каждого пользователя зайти в chrome://appcache-internals/ и очистить кеш. Больше никак его не удалить.

Еще одно описание этой атаки.