Despre phishing şi XSS
Acum ceva timp, am postat un articol referitor la o problemă de securitate pe site-ul Neogen. Iar unii din cititori, mi-au spus că tipul de vulnerabilitate - cross-site scripting - prezentat de mine în respectivul post este total neinteresant, deoarece nu afectează funcţionarea site-ului. Dar un atac informatic nu trebuie neapărat să blocheze site-ul (gen DoS), ci poate avea alte destinaţii, cum ar fi de exemplu furtul de informaţii confidenţiale.
Atacuri informatice de tip phising
Phishing este un atac informatic care se bazează în mare parte pe lipsa de cunoştiinţe / neatenţia utilizatorului. De regulă, un atac de tip phishing se desfăşoară în felul următor: utilizatorul Popescu primeşte un e-mail, aparent legitim, de la compania X, prin care i se cere să urmeze un link, să intre pe pagina web a companiei şi să-şi introducă din nou informaţiile personale deoarece a avut loc o pierdere accidentală de date (asta e abordarea clasică).
În momentul în care Popescu, credul din fire, apasă pe link-ul din e-mail, este dus la o pagină care arată identic cu pagina companiei X. Toate elementele sunt la locul lor: logo-ul companiei, formularul de introducere a datelor. Ba chiar şi domeniile seamănă între ele (PaiPal, Yaho0, G0ogle, etc.). Aşa că, utilizatorul Popescu, fără să bănuiască că este victima unui atac informatic, îşi introduce informaţiile personale. Doar că ele nu ajung în baza de date a companiei menţionate, ci în conturile de e-mail ale atacatorilor. Iar dacă printre aceste date se găsesc şi informaţii de ordin financiar, gen numărul cărţii de credit, putem spune că Popescu nu va mai pleca la munte în concediul de iarnă…
XSS (cross-site scripting) şi phishing
Şi totuşi, care este legătura cu atacurile de tip XSS? Browserele moderne au incorporat un sistem de protecţie anti-phishing, care se activează atunci când utilizatorul navighează pe un site suspect de asemenea practici, de exemplu când domeniul curent este foarte asemănător cu un domeniu “celebru” (PayPal - PaiPal, Yahoo! - Yaho0! etc.). Însă, prin intermediul unui atac de tip XSS, phisherul (chiar, există cuvântul ăsta?) reuşeşte să introducă codul malicios chiar în paginile companiei X, acest lucru permiţându-i să treacă peste protecţia oferită de browser, utilizând chiar domeniul companiei ca platformă de lansare a atacurilor informatice.
Cross site scripting în România
Dacă percepeţi atacurile XSS ca find nişte evenimente foarte improbabile şi îndepărtate, ca un eventual câştig la loto, vă spun că în România, vulnerabilităţile ce permit acest tip de atac informatic sunt la ordinea zilei, chiar pe site-urile mari. După episodul Neogen, vă mai prezint două creaţii:
Temă de casă: căutaţi vulnerabilităţi de tipul XSS la Hipo.ro şi WeBlog.ro! Există!
dude…esti guru…stiam asta, stiai asta, dar…
nu strica sa ti-o mai spun inca o data ;))
pe de alta parte se lucreaza pe genunchi cu oameni buni la toate
[…] m-am apucat sa fac tema de la hakerul nostru Tudor […]
Frumos, Necenzurat! Să te văd la WeBlog.ro, că acolo e mai dificil de făcut.
Hint: se face cu javascript şi pui trigger la un event!
da cea fahcut necenzurat…ca eu nu am prea intzeles
Ce să facă şi el, le-a dat-o celor de la Hipo.ro
Dar se putea şi mai elegant
Hai Necenzurel, bagă tare pe WeBlog! Acolo oricum e mult mai dificil şi nu aşa de efect…
Voi cat de plictisiti sunteti ?
Dar tu? Dacă stai şi ne urmăreşti…
[…] lor e destul de atrăgător, dar la capitolul securitate nu stau prea bine. La fel cum spunea și Tudor (chiar foarte detaliat), atacurile de genul celor pe care le-am făcut sunt minore, dar dacă cineva este mai prost dispus […]
Uite daca scrii la login
“>alert(”XSSed by BrK”)
le-ai dato celor de la hipo.ro e chiar simplu :))
You suck more than anything ever sucked before…
eu ??
Toată distracţia e ca parametrii să fie trimişi prin GET nu POST…ca url-ul să poată fi folosit în acţiuni de phising, denigrare a site-ului, postarea de mesaje false, etc.
În alte cuvinte, n-ai înţeles nimic şi ai dat gol în pauză, cu poarta goală…Horray for script kiddies!
da asta merge ???
[code]
http://www.220.ro/module.php?m.....%21—
[/code]
Daca nici senatu romaniei nu te satisface :))) te salut si sper sa iti dai seama ca am habar de ce zic
http://www.senat.ro/PaginaPrin...../google.ro
acum sa-ti mai dau o lista
http://www.port.ro/pls/ci/cine.....unty_id=-1
http://www.okazii.ro/cautare/%.....=0&y=0
http://cauta.acasa.ro/?q=%22%3.....uta=intern
http://www.senat.ro/PaginaPrin.....220en9.gif
http://www.mie.ro/cauta.php?c=.....en9.gif%3E
http://www.utcluj.ro/search/in.....eld=submit
http://www.finantare.ro/index......en9.gif%3E
http://www.capital.ro/index.ph.....p;txtStop=
http://www.britishcouncil.org/.....;submit=GO
http://cauta.trilulilu.ro/vide.....6%0A%3E%3C!–
alte cateva ! :)))) ce oameni, ce caracter ! :)))
o singura lista mai bag!
http://www.gsp.ro/?section=cau.....en9.gif%3E
http://www.osf.ro/ro/rezultate.....en9.gif%3E
http://www.customs.ro/rezultat.....;search=on
http://www.socrates.ro/cauta.p.....3E&s=0
http://www.monitoruloficial.ro.....0&y=15
http://www.softwin.ro/index.ph.....gina=cauta
http://www.doilasuta.ro/databa.....bmit=cauta
http://www.wall-street.ro/?act.....arch=Cauta
http://www.fast.ro/exec/spa.cg.....=0&y=0
http://www.studentie.ro/index......=0&y=0
http://antena1.bestjobs.ro/?bj.....2%A0%C2%BB
http://www.credo.ro/cautare2.p.....n+Director
printre aceste site-uri se numara si nume ce ar dori sa fie bun la ce e legat de web , dar …..
Felicitări! Îţi poţi face un blog propriu pe care să pui toate astea
PS: vezi că ţi-am şters unele link-uri care erau prea lungi şi-mi stricau paginaţia blogului
BrK Lasa-mi te rog un mail sau dai un add la YM! : bogdy10css .tx
Ce-i acilea? Matrimoniale…?
nu chiar :> vreau sa invat si eu iar de aici nu prea inteleg nik