Aktywne Wpisy
magdalena-gaska +44
Biały i czarny kolor skóry dają po prostu ładny kontrast i fajny efekt estetyczny, niekoniecznie jest to promowanie jakiś mieszanych związków przez duże złamane nosy jeśli chodzi o zdjecia/reklamy
#niepopularnaopinia
#niepopularnaopinia
cword +1071
Tak tylko przypomnę że 4 lata temu pochowano w złotej trumnie ćpuna który próbował zapłacić fałszywka w sklepie a potem postawiono mu pomnik
#bekazpodludzi
#bekazpodludzi
Jeżeli część zasobów witryny dostępna jest tylko dla zalogowanych użytkowników - po przejściu na taką podstronę jako niezalogowana osoba jesteśmy, przekierowywani do formularza logowania.
W adresie URL możemy dostrzec parametry nazwane
redirect
czy teżnext
, wskazujące na podstronę, która ma się wyświetlić po zalogowaniu.Dzisiaj w #od0dopentestera, krótki przykład w #java symulujący tą funkcjonalność:
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class RedirectionExample extends HttpServlet {
@Override
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws IOException, ServletException {
response.sendRedirect(request.getParameter("redirect"));
}
}
Jako parametr
redirect
można podać dowolny link. Ale co w tym złego?Zamiast przejść na nasza stronę, użytkownik zostanie przeniesiony na inną witrynę.
Żadne dane nie wyciekną.
Aby zrozumieć dlaczego jest to niebezpieczne musimy opisać co to jest phishing.
Phishing - czyli metoda oszustwa, w której podszywamy się pod kogoś lub coś aby wyłudzić jakieś interesujące nas informacje.
Przykład: dostajemy email od naszego banku, że ktoś próbował włamać się na nasze konto i musimy zmienić hasło.
Jako iż jesteśmy świadomi niebezpieczeństwa - sprawdzamy adres domeny, na którą kieruje odnośnik w wiadomości.
Domena się zgadza - jest identyczna z domeną naszego banku.
Klikamy więc w link i przystępujemy do procedury zmiany hasła.
Trafiamy jednak na stronę przestępców - którzy chcą wyłudzić nasze dane.
Jak do tego doszło?
Witryna banku zawierała błąd
Open Redirection
.Atakujący w adresie banku zawarł odpowiednio spreparowany parametr
redirect
prowadzący na złośliwą domenę.Użytkownik sprawdzając łącze – widział zatem prawdziwą domenę banku.
Nie sprawdził jednak parametrów, które były w niej przekazywane.
Dlatego też najpierw otworzyła mu się strona banku a następnie został przekierowany na inną domenę.
Pewno myślisz sobie, że żeby uchronić się przed tym atakiem, wystarczy sprawdzić, czy parametr zaczyna się od naszej domeny.
Dlaczego jest to błędne myślenie, dowiesz się w filmie, w którym opisuje kilka popularnych metod obrony oraz sposoby ich obejścia.
Jeżeli chcesz być wołany dodaj się do Mirkolisty. Wyjątkowo wołam osoby plusujące ostatni wpis o Java.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
#security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Nie chcesz być wołany/a jako plusujący/a? Włącz blokadę na https://mirkolisty.pvu.pl/call lub odezwij się do @IrvinTalvanen
Uważasz, że wołający nadużywa MirkoList? Daj znać @IrvinTalvanen
! @BuMRK @megustaf @wolny_kangur @temokkor @kam3o @MQs @wacek_1984 @cochese @StalowyRoman @ZielonkaCzerwonka @KontoDoPomocy @oldchap @seyan @Przegrywek123 @a231 @login-jest-zajety @porque @Proxnik @falrond @Szczur90 @Imputator @mati1000500100900 @daniel9456 @foreverever @rafau1337 @mwtyczek @tomuho @Barcol @Filem00n @snowboarder @
Możesz zapisać/wypisać się klikając na nazwę listy.
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen
! @KacperSzurek @Mashe
@KacperSzurek: Może wystarczy w ogóle nie dawać takiego parametru. Po co komuś na stronie opcja redirect na dowolną stronę? Spotkałeś sie z czymś takim?
Wykorzystanie Open Redirecta to phishingu jest tak absurdalnie naciąganym i nierealistycznym przypadkiem, że wielu ekspertów od bezpieczeństwa nie uważa tego za bład. Na przykład Google na stronach Bug Bounty wprost stwierdza, że dla nich nie jest to błąd i nie przyjmują zgłoszeń z Open Redirectami.
Open Redirect może być jedynie przydatny przy połączeniu z innymi blędami jak np. zostało opisane to tutaj.
Np. oauth2 przewiduje takie przekierowania. Zazwyczaj tego typu mechanizmy widuje się w elementach odpowiedzialnych za obsługę logowania i wylogowania użytkowników.
@MDobak: niby tak, ale nie do końca
Phishing jest ogólnie dla ludzi nieuważnych, a niektórzy podadzą swoje dane jak im każesz wejść na http://okradne-cie.pl/ i będzie tam coś co przypomina Facebooka.
Sprawdzenie tego będzie nielegalne, ale dam sobie głowę uciąć, że open redirect na Google I dobra kampania przyniosłaby choć kilkaset kont dziennie
Na Wykopie ten parametr jest przekazywany - po zalogowaniu bowiem chcesz przenieść użytkownika do konkretnego wpisu, na którym był wcześniej.
@Gwozdziuuu: Trzymając się przykładu Wykopu. Załóżmy, że masz otwarte kilka stron Mirko jako niezalogowany użytkownik.
Nagle chcesz napisać komentarz - używasz wiec formularza logowania znajdującego się u góry każdej strony.
Pech
@MDobak: pewnie zależy to od implementacji ale np. keycloak pozwala zrobić przekierowanie tylko na wcześniej zdefiniowane URIs albo tą samą domenę na której sam jest hostowany
@KacperSzurek: dzięki za wytłumaczenie. Faktycznie zachowanie flow może być trudne ale zależy to też od użytej technologii. Router w angularze np. pozwala odczytać skąd użytkownik przyszedł na stronę. Ten problem chyba bardziej dotyczy frameworkow generujących kod strony na serwerze jak