Russian
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

XSS для начинающих

Мария Наместникова
Эксперт «Лаборатории Касперского»
опубликовано 20 окт 2009, 14:15  MSK
Сюжеты: Тематический спам, Социальная инженерия
0.4
 

Все мы (я надеюсь) уже знаем, что нельзя идти на поводу у киберпреступников и вводить свой пароль везде, где его только ни попросят. Теперь мы, пожалуй, перейдем на следующий уровень знаний.

Знаете ли вы, почему мы так настойчиво повторяем «Не ходите по подозрительным ссылкам, не открывайте ссылки в спамерских письмах и тд, и тд, и тд»? Потому что пользователь, наивно полагающий «Ой, тут что-то интерсненькое! Зайду по ссылочке, посмотрю и все. Я же не буду ничего скачивать и вводить свой пароль, если что. Значит я в безопасности» - это идеальная жертва для злоумышленника. Даже на самом на вид «добреньком» сайте могут таиться злые скрипты, которые выполнившись, подгрузят к вам вредоносов и украдут ваши пароли.

Вчера мы получили письмо, следующего содержания:

Получателями этой рассылки значились довольно разнообразные адресаты - начиная от обычных пользователей на mail.ru и заканчивая тех поддержкой одного из крупных московских провайдеров.

Ссылка, данная в письме под многообещающим анонсом «вот он уже готов!» перенаправляла пользователя на совершенно другой сайт.

Этот «совершенно другой сайт» крал IP-адреса и cookies, в результате чего злоумышленник мог получить пароли от любой искомой службы: электронной почты, платежной системы, или аккаунта социальной сети, при условии, что пользователь там залогинен.

Этот прием совершенно не нов и называется он XSS – cross site scripting. Как понятно из названия, а также из выше приведенного примера, метод действует, коротко говоря, следующим образом: на уязвимом добром сайте прописывается скрипт, выполняющийся при загрузке. Этот скрипт делает свое черное дело, благодаря чему пользователь с высокой вероятностью лишается своего пароля.

В данном конкретном примере автор не скрывает своей причастности к атаке. На одном из популярных хакерских форумов выложено руководство по созданию подобных творений, в которое вставлена ссылка на ту самую «снифалку», которая была использована в выше указанном случае. А найти сам злой сайт по whois не составляет труда.

В общем повторение пройденного: не ходите по ссылкам в спамерских письмах. Даже если после посещения вам кажется, что совершенно ничего не произошло - это совершенно не значит что так оно и есть.


14 комментариев

старые сверху
«дерево»
 

Юрий Наместников

20 окт 2009, 15:39
1
 

Точнее если, вам кажется, что ничего не произошло, можете идти менять пароли =)

Сергей Голованов

20 окт 2009, 16:20
2
 

Эх. На самом деле там все круче...)

Мария Наместникова

21 окт 2009, 12:15
0
 

Re:

Сереж, давай продолжение)) Круче мы любим))

SetupNick

20 окт 2009, 19:50
0
 

Скоро дойдём до того, что спамерские мисьма вообще лучше не открывать. Ведь если электронное письмо можно сделать в формате хтмл, значит, и все те же скрипты вписать туда можно.

Мария Наместникова

21 окт 2009, 12:16
0
 

Re:

А их и так лучше не открывать) На самом деле мысль о том, что скрипт можно вставить в хтмльку уже посещала особо одаренных)

SetupNick

21 окт 2009, 20:07
0
 

Re: Re:

Ну ё-маё, опять я вроде как опоздал))

Мягкий Еж

20 окт 2009, 20:41
2
 

Про то, что опасно ходить по таким ссылкам - известно достаточно многим, а вот про XSS - чуть поменьшему числу людей, а вот про то, что большинство из этих XSS выходит из-за банального ротозейства кодеров, и то, что они находятся в течение 10 минут (если речь идет о пассивных XSS, а ведь именно о них вроде и идет) - знают еще меньше народа... поэтому эта статья еще один "привет" кодерам о том, что "все вводимые данные - от лукавого"...

Мария Наместникова

21 окт 2009, 12:16
2
 

Re:

Мне очень нравится: "Про то, что опасно ходить по таким ссылкам - известно достаточно многим." Когда же это уже ВСЕ выучат-то?)

Мягкий Еж

21 окт 2009, 21:11
0
 

Re: Re:

Вас так волнует когда это ВСЕ выучат? Лично меня это не волнует нисколько, мне намного интереснее читать/писать статьи, изучать новые технологии, обмениваться опытом, а о "доведении всех домохозяек до кондиции" - у меня голова не болит :)
Наверное потому, что я немного эгоист, а Вы просто хороший человек...

Юрий Наместников

22 окт 2009, 11:26
0
 

Re: Re: Re:

Ну беда в том, что мы все живем в одном мире и этой самой "домохозяйкой" может быть и близкий друг, и собственное чадо

AntiVirus

20 окт 2009, 21:42
0
 

Ещё одна зараза в сети. Да что бы их всех понос ночью замучил кто это все делает, все эти спамы и тому подомную хрень. Масаракш!!!

Poznayka

21 окт 2009, 12:56
0
 

Мне кажется что любой лицензионный антивирус с обновленными вирусными базами вылавливает такие фишки злоумышленников на раз, два, три..

Мария Наместникова

21 окт 2009, 13:25
0
 

Re:

О! Как бы хотелось, чтоб у всех пользователей были "обновленные базы"! Это, наверное еще одна тема, которую надо повторять из поста в пост. Обновленные базы антивируса+пропатченное по это, как выясняется, зачастую бывает слишком сложно((

Poznayka

21 окт 2009, 13:32
0
 

Этому надо учить детям в школах на информатике а не контру устанавливать..И может когда они вырастут преступникам станет труднееих обманивать..

Для добавления комментариев необходимо