Перейти к содержимому


rek
Фотография

Взлом пользователей через картинку

взлом хакер взломщик хакинг картинка сайт уязвимость эксплойт информация данные кража

В этой теме нет ответов

#1 xenotropic

xenotropic
  • Эксперт.
  • Пользователи
  • PipPipPipPipPip
  • 285 сообщений

Отправлено 21 Октябрь 2019 - 02:38

Привет, хакеры, наверняка вы знаете, что встраивание удаленных ресурсов, допустим картинок на собственный сайт – довольно плохая идея. Данный поступок может стать решающим фактором в судьбе сайта. много лет назад, многие удивлялись, что такое возможно провернуть. Но пройдя этот промежуток времени, можно понять, что изменений нет и  данную штуку можно использовать. Скорее всего встраивание ресурсов не изменится.

 

Теория и практика

1. Взломщик создает сайт с собственным доменом, который сильно похож на домен сайта, находящегося под атакой

2. После загружает данный PHP-скрипт:

s7JaKJ2.png

3. Создает тему и добавляет в нее картинку таким образом:

<img src="http://exEmple.com/evilimage.php" alt="image"/>

 

4. В случае модерации созданных тем, она будет отправлена на проверку.

5. Допустим, что автор раскрыл интересную тему и попал в ряды популярных статей.

6. Мошенник замечает свое создание и уничтожает комментарии в PHP-скрипте, из-за чего запрос на картинку обернется у пользователей открытием окна авторизации, в котором хакер можно записать абсолютно любую информацию. Допустим, взломщик может написать о внезапной ддос-атаки, из-за чего необходимо заново ввести пароль.

7. Пользователь, не вчитываясь в буквы и домен, заполнит необходимые поля и отправит злоумышленнику все свои данные.

 

Методы защиты

Адекватных способов немного, точнее – 2.

1. Запрет создания новых окон авторизаций на браузерном уровне

2. Создание резервных копий все ресурсов на хостинг на уровне разработчиков сайта.

 



rek




Темы с аналогичным тегами взлом, хакер, взломщик, хакинг, картинка, сайт, уязвимость, эксплойт, информация, данные, кража


reklama reklama

Рейтинг@Mail.ru Analysis informer pr cy
Рейтинг@Mail.ru
Добавить Vkontakte Добавить в Facebook Добавить в Twitter Добавить в LiveJournal