RSS-каналы
Уровень опасности: 1
Главная→Блог→Новости→20 окт 2009→XSS для начинающих
XSS для начинающих
Эксперт «Лаборатории Касперского»
опубликовано 20 окт 2009, 14:15 MSK
Сюжеты: Тематический спам, Социальная инженерия
Все мы (я надеюсь) уже знаем, что нельзя идти на поводу у киберпреступников и вводить свой пароль везде, где его только ни попросят. Теперь мы, пожалуй, перейдем на следующий уровень знаний.
Знаете ли вы, почему мы так настойчиво повторяем «Не ходите по подозрительным ссылкам, не открывайте ссылки в спамерских письмах и тд, и тд, и тд»? Потому что пользователь, наивно полагающий «Ой, тут что-то интерсненькое! Зайду по ссылочке, посмотрю и все. Я же не буду ничего скачивать и вводить свой пароль, если что. Значит я в безопасности» - это идеальная жертва для злоумышленника. Даже на самом на вид «добреньком» сайте могут таиться злые скрипты, которые выполнившись, подгрузят к вам вредоносов и украдут ваши пароли.
Вчера мы получили письмо, следующего содержания:
Получателями этой рассылки значились довольно разнообразные адресаты - начиная от обычных пользователей на mail.ru и заканчивая тех поддержкой одного из крупных московских провайдеров.
Ссылка, данная в письме под многообещающим анонсом «вот он уже готов!» перенаправляла пользователя на совершенно другой сайт.
Этот «совершенно другой сайт» крал IP-адреса и cookies, в результате чего злоумышленник мог получить пароли от любой искомой службы: электронной почты, платежной системы, или аккаунта социальной сети, при условии, что пользователь там залогинен.
Этот прием совершенно не нов и называется он XSS – cross site scripting. Как понятно из названия, а также из выше приведенного примера, метод действует, коротко говоря, следующим образом: на уязвимом добром сайте прописывается скрипт, выполняющийся при загрузке. Этот скрипт делает свое черное дело, благодаря чему пользователь с высокой вероятностью лишается своего пароля.
В данном конкретном примере автор не скрывает своей причастности к атаке. На одном из популярных хакерских форумов выложено руководство по созданию подобных творений, в которое вставлена ссылка на ту самую «снифалку», которая была использована в выше указанном случае. А найти сам злой сайт по whois не составляет труда.
В общем повторение пройденного: не ходите по ссылкам в спамерских письмах. Даже если после посещения вам кажется, что совершенно ничего не произошло - это совершенно не значит что так оно и есть.
|
20 окт 2009, 15:39
Точнее если, вам кажется, что ничего не произошло, можете идти менять пароли =) |
|
20 окт 2009, 16:20
Эх. На самом деле там все круче...) |
20 окт 2009, 19:50
Скоро дойдём до того, что спамерские мисьма вообще лучше не открывать. Ведь если электронное письмо можно сделать в формате хтмл, значит, и все те же скрипты вписать туда можно. |
|
0 |
Re:
А их и так лучше не открывать) На самом деле мысль о том, что скрипт можно вставить в хтмльку уже посещала особо одаренных)
|
20 окт 2009, 20:41
Про то, что опасно ходить по таким ссылкам - известно достаточно многим, а вот про XSS - чуть поменьшему числу людей, а вот про то, что большинство из этих XSS выходит из-за банального ротозейства кодеров, и то, что они находятся в течение 10 минут (если речь идет о пассивных XSS, а ведь именно о них вроде и идет) - знают еще меньше народа... поэтому эта статья еще один "привет" кодерам о том, что "все вводимые данные - от лукавого"... |
|
2 |
Re:
Мне очень нравится: "Про то, что опасно ходить по таким ссылкам - известно достаточно многим." Когда же это уже ВСЕ выучат-то?)
|
0 |
Re: Re:
Вас так волнует когда это ВСЕ выучат? Лично меня это не волнует нисколько, мне намного интереснее читать/писать статьи, изучать новые технологии, обмениваться опытом, а о "доведении всех домохозяек до кондиции" - у меня голова не болит :)
Наверное потому, что я немного эгоист, а Вы просто хороший человек...
|
0 |
Re: Re: Re:
Ну беда в том, что мы все живем в одном мире и этой самой "домохозяйкой" может быть и близкий друг, и собственное чадо
|
20 окт 2009, 21:42
Ещё одна зараза в сети. Да что бы их всех понос ночью замучил кто это все делает, все эти спамы и тому подомную хрень. Масаракш!!! |
|
21 окт 2009, 12:56
Мне кажется что любой лицензионный антивирус с обновленными вирусными базами вылавливает такие фишки злоумышленников на раз, два, три.. |
|
0 |
Re:
О! Как бы хотелось, чтоб у всех пользователей были "обновленные базы"! Это, наверное еще одна тема, которую надо повторять из поста в пост. Обновленные базы антивируса+пропатченное по это, как выясняется, зачастую бывает слишком сложно((
|
21 окт 2009, 13:32
Этому надо учить детям в школах на информатике а не контру устанавливать..И может когда они вырастут преступникам станет труднееих обманивать.. |
Также в аналитике
В веблоге
© ЗАО «Лаборатория Касперского», 1997-2010
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей