Взлом при помощи картинок (для ознакомления)

 



Правильно люди говорят: «Все новое — это хорошо забытое старое»

Возможность встраивания удалённых ресурсов (например картинок с других сайтов) на страницу своего сайта — очень плохая практика. Которая может в определённый момент привести к довольно серьёзным последствиям для сайта. Еще 10 лет назад, я с удивлением читал о том, что такое возможно. И вот прошло 10 лет, ничего не изменилось, и похоже на то, что это вряд ли когда то изменится.

Детали под катом. Теория и практика

1. Хакер злой пользователь регистрирует себе домен похожий по написанию на атакуемый домен.
2. Загружает на него скрипт c таким содержимым на PHP



КОД:

Ссылка на яндекс.дискhttps://yadi.sk/i/sjQtgE91upLXM

3. Пишет статью, и встраивает картинку в пост:

<img src=”http://exаmple.com/evilimage.php” alt=”image”/>

4. Если присутствует модерация на сайте, то отправляет статью на модерацию.
5. К примеру статья получилась у него хорошая и она попадает на главную.
6. Злой человек видит своё детище на главной и убирает комментарии в PHP коде, таким образом в ответ на запрос картинки из поста, у любого пользователя в браузере появляется окно с авторизацией, где может быть написано все что угодно, к примеру что сайт отбивается от ДДос атаки, и просит повторить ввод логина и пароля.
7. Не внимательный пользователь, не вчитывается в название домена в форме авторизации и субмитит логин и пароль.
8. Злой человек получает ваш логин и пароль, его цель достигнута.

Способы защиты

Думаю вменяемых методов может быть два:

На уровне браузеров: запрет на выдачу окна авторизации от другого сайта
На уровне разработчиков сайтов: Копирование всех удалённых ресурсов к себе на хостинг

P.S Работает не во всех браузерах, на бхф не пашет.
P.P.S Статья не моя, взята с хабра https://habrahabr.ru/post/140054/ но решил выложить т.к мало кто об этом знает.

RuCoreNET - лучшее для вас!


Поделись статьей с друзьями


90 просмотров


0 0 vote
Рейтинг статьи
Подписаться
Уведомление о
guest
0 Комментарий
Inline Feedbacks
View all comments


Do NOT follow this link or you will be banned from the site!
0
Would love your thoughts, please comment.x
()
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: