Aktywne Wpisy
![Matylda_Megara](https://wykop.pl/cdn/c0834752/a4a1b801befb6875abeadea5ed452e102569e6ea691ebff96a9385974175e7c0,q60.png)
Matylda_Megara +610
PiotreKqxx +332
Holendrzy to chyba jeden z najbardziej zakompleksionych krajów w Europie Zachodniej, czytam właśnie komentarze holenderskiej prasy na temat meczu z Polską i każda redakcja musi podkreślić, że Polska to drużyna z Europy wschodniej, w ogóle ich komentarze przed samym spotkaniem z nami pokazują jakie to buce, pamiętam też ich zachowanie podczas mundialu w meczu z Argentyną, mam nadzieję, że wyjebia się na ten głupi ryj i nie wyjdą z grupy
#mecz
#mecz
W dzisiejszym odcinku #od0dopentestera o ataku Clickjacking.
Podczas potwierdzania usunięcia konta zazwyczaj do serwera wysyłany jest specjalny token.
Dzięki niemu wiadomo, że to użytkownik użył odpowiedniego przycisku.
Osoba z zewnętrz nie jest w stanie przygotować wcześniej formularza usunięcia konta z prawidłowym tokenem a następnie podłożyć go nam do kliknięcia.
Nie zna bowiem prawidłowej wartości oczekiwanej przez serwer - tak działa mechanizm CSRF (Cross-site request forgery).
HTML pozwala na osadzanie we wnętrzu naszej strony zewnętrznych witryn.
Można tego dokonać przy pomocy tagu IFRAME.
W parametrze src podajemy adres, którego treść ma się u nas pojawić.
Możemy dowolnie modyfikować wielkość osadzonej ramki a także zmieniać jej położenie względem naszej strony
Używając narzędzia
Burp Clickbandit
możemy spreparować ramkę wyświetlaną na naszej stronie w taki sposób, aby nie była widoczna dla użytkownika.Jednocześnie - w miejscu przycisku "Usuń konto" pozycjonujemy inną grafikę - na przykład z informacją o wygraniu w loterii.
Teraz wystarczy już tylko przekonać zalogowanego użytkownika do odwiedzenia naszej strony i kliknięcia w interesującą grafikę.
Atakowany, myśli że klika w nią aby odebrać jakąś nagrodę - a tak naprawdę wysyła formularz usunięcia konta na innym serwisie internetowym.
Pod tą grafiką bowiem znajdował się przycisk, wyświetlany poprzez mechanizm iframe.
Użytkownik klikając w grafikę tak naprawdę klikał zatem w ten guzik wysyłając tym samym odpowiedni token do serwera.
Jak obronić się przed tym atakiem?
Jeżeli nie chcesz aby Twoja strona była osadzana przy użyciu mechanizmu ramek - dodaj do niej specjalny nagłówek
X-Frame-Options: DENY
.Jeżeli chcesz być wołany dodaj się do Mirkolisty.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
#security #bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #hacking #java #gruparatowaniapoziomu
Możesz zapisać/wypisać się klikając na nazwę listy.
Sponsor: Grupa Facebookowa z promocjami z chińskich sklepów
Masz problem z działaniem listy? A może pytanie? Pisz do IrvinTalvanen
! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @R0HYPN0L @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow
Komentarz usunięty przez autora
Komentarz usunięty przez autora
https://github.com/hackvertor/clickbandit/blob/master/clickbandit.js