Перейти к содержимому



Фотография
  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 roguevad

roguevad

    Эксперт.

  • Пользователи
  • PipPipPipPipPip
  • 293 сообщений

Отправлено 27 Октябрь 2020 - 11:01

Привет, хакеры, наверняка вы знаете, что встраивание удаленных ресурсов, допустим картинок на собственный сайт – довольно плохая идея. Данный поступок может стать решающим фактором в судьбе сайта. много лет назад, многие удивлялись, что такое возможно провернуть. Но пройдя этот промежуток времени, можно понять, что изменений нет и  данную штуку можно использовать. Скорее всего встраивание ресурсов не изменится.

 

Теория и практика

1. Взломщик создает сайт с собственным доменом, который сильно похож на домен сайта, находящегося под атакой

2. После загружает данный PHP-скрипт:

 

3. Создает тему и добавляет в нее картинку таким образом:

<img src="http://exEmple.com/evilimage.php" alt="image"/>

 

4. В случае модерации созданных тем, она будет отправлена на проверку.

5. Допустим, что автор раскрыл интересную тему и попал в ряды популярных статей.

6. Мошенник замечает свое создание и уничтожает комментарии в PHP-скрипте, из-за чего запрос на картинку обернется у пользователей открытием окна авторизации, в котором хакер можно записать абсолютно любую информацию. Допустим, взломщик может написать о внезапной ддос-атаки, из-за чего необходимо заново ввести пароль.

7. Пользователь, не вчитываясь в буквы и домен, заполнит необходимые поля и отправит злоумышленнику все свои данные.

 

Методы защиты

Адекватных способов немного, точнее – 2.

1. Запрет создания новых окон авторизаций на браузерном уровне

2. Создание резервных копий все ресурсов на хостинг на уровне разработчиков сайта.

 





Темы с аналогичным тегами взлом, взломщик, хакер, хакинг, взлом через картинку, ддос-атаки, защита от взлома, взлом пользователей, вредносный код, вредносное по, вирус


Яндекс.Метрика Top.Mail.Ru Analysis Счетчик ИКС
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal