- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
Привет, хакеры, наверняка вы знаете, что встраивание удалённых ресурсов — например, изображений с чужих доменов — на свой сайт или форум может привести к печальным последствиям. Эта практика чревата не только утечкой данных, но и полноценным взломом. Ещё много лет назад подобные трюки удивляли, но даже сейчас мало что изменилось — техника жива, и при грамотной реализации может обернуться массовым сбором паролей.
Теория и практика
1. Взломщик создаёт сайт с доменом, схожим по написанию с целью атаки.
2. Загружает на него вредоносный PHP-скрипт, предназначенный для перехвата или подмены контента.
3. Создаёт тему на форуме, вставляя в неё изображение следующим образом:
<img src="http://exemple.com/evilimage.php" alt="image" />
4. Если на форуме действует ручная модерация, тема уходит на проверку.
5. Если тема полезная и становится популярной, то получает массу просмотров и репостов.
6. В какой-то момент атакующий меняет содержимое скрипта — удаляет комментарии и подставляет вредоносный код. Например, вместо изображения подгружается поддельная форма входа, якобы вызванная из-за DDoS-атаки или технической ошибки.
7. Большинство пользователей, не заметив подмену домена, вводят свои логины и пароли, которые тут же улетают на сервер атакующего.
Методы защиты
Универсальной защиты нет, но есть два действенных способа:
1. Отключение возможности создания всплывающих форм входа на уровне браузера или политики безопасности сайта.
2. Кеширование всех изображений и файлов, подгружаемых из внешних источников, непосредственно на стороне хостинга — чтобы ни одно изображение не шло с удалённого сервера напрямую.
Теория и практика
1. Взломщик создаёт сайт с доменом, схожим по написанию с целью атаки.
2. Загружает на него вредоносный PHP-скрипт, предназначенный для перехвата или подмены контента.
3. Создаёт тему на форуме, вставляя в неё изображение следующим образом:
<img src="http://exemple.com/evilimage.php" alt="image" />
4. Если на форуме действует ручная модерация, тема уходит на проверку.
5. Если тема полезная и становится популярной, то получает массу просмотров и репостов.
6. В какой-то момент атакующий меняет содержимое скрипта — удаляет комментарии и подставляет вредоносный код. Например, вместо изображения подгружается поддельная форма входа, якобы вызванная из-за DDoS-атаки или технической ошибки.
7. Большинство пользователей, не заметив подмену домена, вводят свои логины и пароли, которые тут же улетают на сервер атакующего.
Методы защиты
Универсальной защиты нет, но есть два действенных способа:
1. Отключение возможности создания всплывающих форм входа на уровне браузера или политики безопасности сайта.
2. Кеширование всех изображений и файлов, подгружаемых из внешних источников, непосредственно на стороне хостинга — чтобы ни одно изображение не шло с удалённого сервера напрямую.