About Teletype
Join
hackerplace.org
@hackerplace.org
September 2, 2020

Взлом аккаунта с помощью XSS и кражи куки-файлов

Всем салют, дорогие друзья!
Возможно, что для многих из вас название статьи не понятно. Не переживайте, сейчас со всем разберемся!


Что это такое?

XSS-атака или межсайтинговый скриптинг - внедрение вредоносного кода в сервер системы и использование уязвимости в целях получения персональных данных.

Всего есть два вида атак, которые я встречал на практике:

  • Пассивные - участие самого пользователя обязательно. Необходимо заставить его перейти по вредоносной ссылке, чтобы запустить процесс внедрения кода. Провернуть такое дело непросто, требуются знания в программировании и психологическая подготовка.
  • Активные - тут понадобятся уязвимости из фильтров веб-ресурса. Пользуясь различными комбинациями символов и тегов нужно создать запрос, который сайт поймет и выполнит.

Суть скриптинга в том, что внедренный код пользуется авторизацией пользователя на веб-площадке и получает все его персональные данные.

Долгое время программисты считали XSS безвредным, не опасным для серверов. Особого внимания защите не уделялось. А зря, сейчас это один из самых опасных способов взлома.

О краже куки-файлов я тоже упомяну, этот метод часто используют хакеры, поэтому оставить его без внимания было бы несправедливо.

Куки - небольшая часть данных, которые веб-сервер отправляет на ПК юзера. Каждый раз, открывая страничку сайта, HTML-запрос направляется веб-серверу.

Многие уверены, что Cookie - специальные программы. Но это не так. Это обычные текстовые файлы с набором знаков, символов и тегов.

Расскажу Вам о видах куки, которые использую сам:

  • Первый - применяю его во время текущего сеанса. Они удаляются по окончании указанного временного промежутка.
  • Второй - эти файлы остаются навсегда, не удаляются. Хранятся на жестком диске. Под видом обычного пользователя хакеры пользуются ими для расшифровки.

Какие уязвимости я бы посоветовал использовать?

Вряд ли здесь можно выделить четкую классификацию, однако разделим их на два вида:

- Отраженные (Непостоянные). Я бы сказал, что это самый распространенный тип из всех используемых сегодня. Найти их можно в параметрах запроса или формы HTML.

  • Хранимые (Постоянные). Используются такие уязвимости для самых разрушительных атак. Для этого требуется внедрить вредоносный код на сервер. Каждый раз, заходя в браузер, юзер будет возвращаться к оригинальной странице.

Конечно, если есть возможность, лучше применять хранимые.

Как применять?

Как же на практике воспользоваться этой информацией? Я поделюсь с Вами личным опытом.

XSS-уязвимости.

У XSS атаки есть ядро - это такая лазейка в фильтре, которую нужно обязательно обнаружить. Их несколько:

- Черви;

- Разные веб-фильтры;

- Шифрование;

- Теги;

- Скобки - открытые и закрытые. По типу: “/?,#”>>>><<script{()});

- Фильтрация символов и знаков.

Cookie-кража

Как же заполучить чужие сведения? Использовать перехват! Это самый распространенный вариант применения уязвимости.

Что содержат в себе куки-файлы?

  • Логин, пароль;
  • Ценную информацию о контактах;
  • Вирус для изъятия активной сессии.

Пользователи должны с осторожностью относиться к таким вещам. Ведь кража данных - вещь не очень приятная. Есть специальные программы для минимальной защиты, которые любой может скачать и установить. Но на деле, конечно, о безопасности в сети думают немногие.

Куки применяются для хранения данных у пользователя, а также:

  • Аутентификации на сайте;
  • Сохранения настроек и личных данных;
  • Создания пользовательской статистики и учетности;
  • Наблюдение за состояниями сеансов доступа.

Куки очень легко перехватить во время передачи и подменить. Особенно, если используется нешифрованное соединение с сервером.

Чем могут помочь?

Для получения ценных сведений взломщики активно применяют межсайтинговый скриптинг и кражу Cookie.

Что конкретно нам дает использование уязвимостей веб?

  • Доступ к любому аккаунту в социальной сети, мессенджере или на сайте знакомств;
  • Данные для входа в учетную запись - логин и пароль;
  • Возможность вносить изменения во внешний вид странички;
  • Доступ к буферу обмена.

Куки очень важны, их применяют для идентификации на сайте. Воспользоваться Вашими данными можно, если знать cookie. Прочитать их легко. Нужно выполнить Javascript на пк владельца. Javascript может обратиться к любому http-серверу и загрузить картинку, находящуюся там. В запросе на загрузку картинки, передается текст. Так куки могут оказаться в этом запросе и перейти в руки злоумышленника. Но для этого придется отыскать хостинг с php.

Кстати, если Вы собираетесь искать уязвимости XSS, делайте это в Interner Explorer, этот стандартный браузер подходит лучше всего.

Надеюсь, что эта статья помогла Вам в выборе способа взлома приватной странички. Вся изложенная информация не просто теория. Она не раз проверялась мой на практике в процессе работы.

Спасибо, что дочитал до конца, дорогой друг!

Кстати, у тебя есть реальная возможность с головой погрузиться в Даркнет, стать его полноправным членом, а не наблюдателем. При этом ты еще и начнешь неплохо зарабатывать - 200.000 руб. в первый месяц. Интересно? Добро пожаловать в нашу Академию Хакинга - Hacker Place Academy

Узнать больше об обучении можно на нашем сайте: hackerplace.org

Остались вопросы? Задай их мне в ЛС: @golden_hpa

hackerplace.org
September 2, 2020, 08:24
0 reactions
0 views