Привет, хакеры, наверняка вы знаете, что встраивание удаленных ресурсов, допустим картинок на собственный сайт – довольно плохая идея. Данный поступок может стать решающим фактором в судьбе сайта. много лет назад, многие удивлялись, что такое возможно провернуть. Но пройдя этот промежуток времени, можно понять, что изменений нет и данную штуку можно использовать. Скорее всего встраивание ресурсов не изменится.
Теория и практика
1. Взломщик создает сайт с собственным доменом, который сильно похож на домен сайта, находящегося под атакой
2. После загружает данный PHP-скрипт:
3. Создает тему и добавляет в нее картинку таким образом:
<img src="http://exEmple.com/evilimage.php" alt="image"/>
4. В случае модерации созданных тем, она будет отправлена на проверку.
5. Допустим, что автор раскрыл интересную тему и попал в ряды популярных статей.
6. Мошенник замечает свое создание и уничтожает комментарии в PHP-скрипте, из-за чего запрос на картинку обернется у пользователей открытием окна авторизации, в котором хакер можно записать абсолютно любую информацию. Допустим, взломщик может написать о внезапной ддос-атаки, из-за чего необходимо заново ввести пароль.
7. Пользователь, не вчитываясь в буквы и домен, заполнит необходимые поля и отправит злоумышленнику все свои данные.
Методы защиты
Адекватных способов немного, точнее – 2.
1. Запрет создания новых окон авторизаций на браузерном уровне
2. Создание резервных копий все ресурсов на хостинг на уровне разработчиков сайта.