Привет, хакеры, наверняка вы знаете, что встраивание удаленных ресурсов, допустим картинок на собственный сайт – довольно плохая идея. Данный поступок может стать решающим фактором в судьбе сайта. много лет назад, многие удивлялись, что такое возможно провернуть. Но пройдя этот промежуток времени, можно понять, что изменений нет и  данную штуку можно использовать. Скорее всего встраивание ресурсов не изменится.

Теория и практика

1. Взломщик создает сайт с собственным доменом, который сильно похож на домен сайта, находящегося под атакой

2. После загружает данный PHP-скрипт:

3. Создает тему и добавляет в нее картинку таким образом:

<img src="http://exEmple.com/evilimage.php" alt="image"/>

4. В случае модерации созданных тем, она будет отправлена на проверку.

5. Допустим, что автор раскрыл интересную тему и попал в ряды популярных статей.

6. Мошенник замечает свое создание и уничтожает комментарии в PHP-скрипте, из-за чего запрос на картинку обернется у пользователей открытием окна авторизации, в котором хакер можно записать абсолютно любую информацию. Допустим, взломщик может написать о внезапной ддос-атаки, из-за чего необходимо заново ввести пароль.

7. Пользователь, не вчитываясь в буквы и домен, заполнит необходимые поля и отправит злоумышленнику все свои данные.

Методы защиты

Адекватных способов немного, точнее – 2.

1. Запрет создания новых окон авторизаций на браузерном уровне

2. Создание резервных копий все ресурсов на хостинг на уровне разработчиков сайта.