XSS для начинающих

20 Окт 2009

мин. на чтение

Авторы

Мария Наместникова

Все мы (я надеюсь) уже знаем, что нельзя идти на поводу у киберпреступников и вводить свой пароль везде, где его только ни попросят. Теперь мы, пожалуй, перейдем на следующий уровень знаний.

Знаете ли вы, почему мы так настойчиво повторяем «Не ходите по подозрительным ссылкам, не открывайте ссылки в спамерских письмах и тд, и тд, и тд»? Потому что пользователь, наивно полагающий «Ой, тут что-то интерсненькое! Зайду по ссылочке, посмотрю и все. Я же не буду ничего скачивать и вводить свой пароль, если что. Значит я в безопасности» — это идеальная жертва для злоумышленника. Даже на самом на вид «добреньком» сайте могут таиться злые скрипты, которые выполнившись, подгрузят к вам вредоносов и украдут ваши пароли.

Вчера мы получили письмо, следующего содержания:

Получателями этой рассылки значились довольно разнообразные адресаты — начиная от обычных пользователей на mail.ru и заканчивая тех поддержкой одного из крупных московских провайдеров.

Ссылка, данная в письме под многообещающим анонсом «вот он уже готов!» перенаправляла пользователя на совершенно другой сайт.

Этот «совершенно другой сайт» крал IP-адреса и cookies, в результате чего злоумышленник мог получить пароли от любой искомой службы: электронной почты, платежной системы, или аккаунта социальной сети, при условии, что пользователь там залогинен.

Этот прием совершенно не нов и называется он XSS – cross site scripting. Как понятно из названия, а также из выше приведенного примера, метод действует, коротко говоря, следующим образом: на уязвимом добром сайте прописывается скрипт, выполняющийся при загрузке. Этот скрипт делает свое черное дело, благодаря чему пользователь с высокой вероятностью лишается своего пароля.

В данном конкретном примере автор не скрывает своей причастности к атаке. На одном из популярных хакерских форумов выложено руководство по созданию подобных творений, в которое вставлена ссылка на ту самую «снифалку», которая была использована в выше указанном случае. А найти сам злой сайт по whois не составляет труда.

В общем повторение пройденного: не ходите по ссылкам в спамерских письмах. Даже если после посещения вам кажется, что совершенно ничего не произошло — это совершенно не значит что так оно и есть.

Авторы

Мария Наместникова

XSS для начинающих

Последние публикации

Отчеты

Продолжаем рассказывать об APT-группе ToddyCat. В этой статье поговорим о туннелировании трафика, сохранении доступа к скомпрометированной инфраструктуре и краже данных.

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

XSS для начинающих

Безопасность роутеров в 2021 году

Безопасность телемедицины: новый фронт в медицине и кибербезопасности

Безопасность «подключенной» медицины: прогнозы на 2022 год

Играют ли киберпреступники в киберигры на карантине? Год спустя

Безопасность «подключенной» медицины в 2021 году

QR-коды в почтовом фишинге

Использование взломанных сайтов в фишинге

Почтовый криптофишинг: как грабят горячие и холодные кошельки

Как мошенники используют IPFS в почтовом фишинге

Массовая рассылка с элементами целевого спама

Последние публикации

История с бэкдором в XZ — первоначальный анализ

SoumniBot: уникальные техники нового банкера для Android

Билдер LockBit и целевые шифровальщики

Зловреды для Android на любой вкус

Отчеты

ToddyCat роет норы в вашей инфраструктуре и крадет секреты

StripedFly: двуликий и незаметный

Азиатские APT-группировки: тактики, техники и процедуры

Как поймать «Триангуляцию»

Подпишитесь на еженедельную рассылку