.
Читать онлайн книгу.
telefonu bądź adresem e-mail, należącymi do atakującego.
Kluczem w tym przykładzie było zauważenie parametru w URL-u, który był wyświetlany na stronie. Wystarczyła zwykła próba zmiany wartości parametru, by zdemaskować podatność.
Wnioski
Miej na uwadze parametry URL, które są przekazywane i renderowane jako zawartość strony. Mogą ujawnić podatności typu injection, które prowadzą do ataków phishingowych. Możliwość kontroli parametrów URL renderowanych na stronie czasami może doprowadzić do ataków cross-site scripting, które omówimy w rozdziale 7. W pozostałych przypadkach takie zachowanie można wykorzystać tylko w atakach HTML injection i content spoofing. Ważne do zapamiętania jest to, że chociaż zgłoszenie zostało nagrodzone tylko 250 $, była to minimalna kwota wynagrodzenia w programie Within Security. Nie wszystkie programy cenią bądź w ogóle nagradzają podatności HTML injection i content spoofing, ponieważ, podobnie jak w inżynierii społecznej, zależą one od tego, czy wstrzyknięty tekst będzie w stanie oszukać ofiarę.
Rysunek 5.1. Atakujący dodał takie „ostrzeżenie” do strony administracyjnej WordPress.
Podsumowanie
HTML injection i content spoofing pozwalają hakerowi wpisać informacje i odzwierciedlić je na stronie HTML ukazanej ofierze. Atakujący mogą użyć tego typu ataków do oszustw i wrabiania użytkowników do przesłania wrażliwych informacji na złośliwe strony.
Odkrywanie takich podatności nie polega tylko na przesłaniu zwykłego HTML-a, ale na zbadaniu tego, w jaki sposób witryna renderuje wprowadzany tekst. Hakerzy powinni szukać możliwości manipulowania parametrami URL, które są wyświetlane bezpośrednio na stronie.
6.
CARRIAGE RETURN LINE FEED INJECTION
Niektóre podatności pozwalają użytkownikom wpisać zakodowane znaki, które mają specjalne znaczenie w odpowiedziach HTML i HTTP. Normalnie aplikacje usuwają takie znaki, kiedy zostaną dodane przez użytkownika, aby zapobiegać przed próbami manipulacji wiadomościami HTTP, lecz w niektórych przypadkach deweloperzy
albo zapominają o filtrowaniu wejścia, albo nie robią tego poprawnie. Kiedy się tak dzieje, serwery, proxy i przeglądarki mogą zinterpretować specjalne znaki jako kod i zmienić oryginalną wiadomość HTTP, pozwalając atakującym na manipulację zachowaniem aplikacji.
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.