Wpis z mikrobloga

z tym keyloggerem przez CSS to nie do konca - owszem można potwierdzić że jakaś zgadywana wartość jest w polu lub jej nie ma, ale żeby przeprowadzić skuteczne odczytanie całej wartości musielibysmy dynamicznie reagować nowowstrzykniętymi stylami na już do tej pory odgadnięte znaki... albo zbrutoforce'owac wszystkie możliwe wartości do jakiegoś limitu znaków, co skończyłoby się szybko wyczerpaniem pamięci, potężną zamułą strony i jej crashem.

@KacperSzurek: Dzięki za fajny poradnik. Mam małą sugestie co do ataków w oparciu o cookie. Brakowało mi użycia flag HttpOnly, Secure, oraz SameSite policy. Gdybyś pokazał jak używać tych flag, zwłaszcza w kontekście "legitnych" ciastek, na które nie chcemy żeby ktoś z zewnątrz miał wpływ, myślę że przyniosłoby to dodatkową wartość na kanale.

@KacperSzurek: nie wiem jakiej przeglądarki dokładnie używasz ale u mnie setowanie cookie nie działa z subdomeny na domenie TLD. Treść nie jest akceptowana jeżeli ustawię github.io Muszę dać określoną subdomenę. Może być też tak, że mam podkręcone opcje w Chrome, które to blokują.

@f1aSh: No tak, teraz dooglądałem o public suffix :)

@KacperSzurek: wow, chcialem sobie poczytac, wchodze, a tam filmik z Twoja glowa gdzie mi czytasz xD podziekuje, nie jestem uposledzony
Kasa z youtuba oglupia spoleczenstwo

@KacperSzurek: ten keylogger CSS jest mocno naciągany :) żeby to w ogóle mogło działać to musiałbyś mieć możliwość wstrzyknięcia CSS na stronę odwiedzaną przez ofiarę a do tego potrzebujesz albo programu (czyli zwyczajny keylogger by wystarczył) albo wtyczki przeglądarkowej z odpowiednimi pozwoleniami ("sklep" nie wpuści takiej). Do tego dochodzi kwestia inputa z tokenem który się powinien zmieniać przy każdym przeładowaniu strony więc i potencjalny brute-force średnio zadziała.

@KacperSzurek: Kacper sledze cie od twoich pierwszych wrzut na wykopie, wielkie dzieki za tyle materialow :) naprawda dobra robota. Myslalam, ze przestaniesz wrzucac bo serio pierwsze miesiace miales malo widzow, ale teraz sie naprawde dobrze rozkreca. Rob tak dalej cumplu

@KacperSzurek: Posłuchałem tylko CSS Keyloger i chyba nic głupszego o CSSach nie słyszałem. By odczytać dane z formularza jak w filmie to trzeba wstrzyknąć kod, który będzie się odpalał za każdym razem jak ktoś uruchomi stronę. Więc równie dobrze można wstrzyknąć JSa, który zrobi znacznie więcej złego. A token, o ile ktoś jest taki głupi, by dawać go w inpucie, to można sobie odczytać przez devtoolsy, tylko po co, jeśliPokaż całość

Ankieta w 15:01 bez sensu. Wszystkie odpowiedzi nie mogą być poprawne, bo pierwsza i drugą zaczynają sie od TYLKO. To wbrew logice.

@Jacek12: jakby się człowiek miał przejmować takimi atakami to by musiał komputer w sejfie zamykać bo przecież ktoś ci może do domu wejść. Przykłady powinny mieć sens a nie po prostu być.