→ Что такое спуфинг. Спуфинг: что это такое. URL Bar Spoofing - подмена ссылки в адресной строке браузера

Что такое спуфинг. Спуфинг: что это такое. URL Bar Spoofing - подмена ссылки в адресной строке браузера

IP-spoofing - атака, заключающаяся в использовании в IP-пакетах, отправляемых жертве, в качестве обратного адреса IP-адрес хоста, которому она доверяет; легко осуществима в UDP, в некоторых случаях возможна в TCP-соединениях.

На сетевом уровне атака частично предотвращается с помощью фильтра пакетов. Он должен быть настроен таким образом, чтобы не пропускать пакеты пришедшие через те сетевые интерфейсы , откуда они прийти не могли.

Грубо говоря, если у нас на одном (внутреннем) интерфейсе стоят адреса 192.168.x.x, а на втором (внешнем) какой-то другой адрес. Вдруг через внешний интерфейс приходит пакет с обратным адресом 192.168.x.x (адресом внутренней сети). Это подозрительно, и фильтр может отбросить такой пакет.

Ipfw add 100 allow ip antispoof ipfw add 1000 deny all

Пакеты, прошедшие проверку правилом antispoof , пропускаются, а остальные - отбрасываются (правило antispoof проверяет на соответствие только непосредственно подключёным сетям; для проверки по таблице маршрутизации используется verrevpath ).

Ip verify unicast reverse-path

Материалы по безопасности на сайт Уровень приложений Транспортный уровень Сетевой уровень Уровень доступа к сети
SSL . SSH
TLS .
Безопасность BGP . IPsec .

Черкасов Денис Юрьевич / Cherkasov Denis Yurievich
студент
Иванов Вадим Вадимович / Ivanov Vadim Vadimovich
студент
Кафедра компьютерной и информационной безопасности,
Институт кибернетики,
Московский институт радиотехники электроники и автоматики,
Федеральное государственное бюджетное образовательное
учреждение высшего образования
Московский технологический университет,
г. Москва

IP-spoofing

Преступники уже давно используют тактику маскировки своей личности - от сокрытия псевдонимов до блокировки идентификатора вызывающего. Неудивительно, что преступники, которые реализуют свои гнусные действия в сетях и компьютерах, используют такие методы. IP-спуфинг является одной из наиболее распространенных форм онлайнового камуфляжа. При IP-спуфинге злоумышленник получает несанкционированный доступ к компьютеру или сети путем «подмены» IP-адреса этого компьютера, указывая на то, что вредоносное сообщение поступило с доверенного компьютера. В этой статье мы рассмотрим концепции IP-спуфинга: почему это возможно, как это работает, для чего оно используется и как защититься от него.

История

Концепция IP-спуфинга первоначально обсуждалась в академических кругах в 1980-х годах. В то время это было теоретической дискуссией, пока Роберт Моррис, сын которого написал первый компьютерный червь, не обнаружил слабости в системе безопасности TCP-протокола. Стивен Белловин подробно рассмотрел проблему уязвимости в безопасности набора протоколов TCP / IP. Печально известная атака Кевина Митника на машине Цутому Симомура использовала методы IP-спуфинга и прогнозировала последовательности TCP. Хотя популярность таких атак уменьшилась, спуфинг еще активно реализуется.

Техническая дискуссия

Чтобы полностью понять, как осуществляются эти атаки, необходимо изучить структуру набора протоколов TCP / IP.

Интернет-протокол - IP-адрес

Интернет-протокол (IP) - это сетевой протокол, работающий на уровне 3 (сети) модели OSI, без установления соединения, то есть отсутствует информация о состоянии транзакции, которая используется для маршрутизации пакетов по сети. Кроме того, не существует метода, гарантирующего правильную доставку пакета в пункт назначения.

Изучая заголовок IP-пакета, мы видим, что первые 12 байтов (или верхние 3 строки заголовка) содержат различную информацию о пакете. Следующие 8 байтов (следующие 2 строки) содержат IP-адреса источника и назначения. Используя один из нескольких инструментов, злоумышленник может легко изменить эти адреса - в частности, поле «адрес источника». Важно отметить, что каждая дейтаграмма отправляется независимо от всех остальных из-за строения IP.

Протокол управления передачей - TCP

IP можно рассматривать как оболочку маршрутизации для 4 уровня (транспорт), которая содержит протокол управления передачей (TCP). В отличие от IP, TCP ориентирован на соединение. Это означает, что участники сеанса TCP должны сначала создать соединение, используя трехстороннее рукопожатие (SYN-SYN / ACK-ACK), затем обновить друг друга через последовательности и подтверждения. Этот «разговор» обеспечивает надежную передачу данных, отправитель получает подтверждения от получателя после каждого обмена пакетами.


Заголовок TCP сильно отличается от заголовка IP. Мы имеем дело с первыми 12 байтами TCP-пакета, которые содержат информацию о порте и последовательности. Подобно IP-дейтаграмме, TCP-пакеты могут управляться с помощью программного обеспечения. Исходный и конечный порты обычно зависят от используемого сетевого приложения (например, HTTP через порт 80). Для понимания спуфинга важно обращать внимание на номера последовательности и подтверждения. Данные, содержащиеся в этих полях, обеспечивают надежную доставку пакетов, определяя, нужно ли повторно отправлять пакет. Номер последовательности - это номер первого байта в текущем пакете, который имеет отношение к потоку данных. Номер подтверждения, в свою очередь, содержит значение следующего ожидаемого порядкового номера в потоке. Это соотношение подтверждает, что надлежащие пакеты были получены. Этот протокол совсем не похож на IP, поскольку состояние транзакции тщательно контролируется.

Последствия проектирования TCP / IP

У нас есть обзор форматов TCP / IP, давайте рассмотрим последствия. Очевидно, что очень легко маскировать адрес источника, манипулируя IP-заголовком. Этот метод используется по очевидным причинам и применяется в нескольких описанных ниже атаках. Другим следствием, специфичным для TCP, является прогнозирование последовательности номеров, что может привести к захвату сеанса. Этот метод основан на IP-спуфинге, поскольку создается сессия, хотя и ложная.

Спуфинг-атаки

Существует несколько вариантов атак, которые успешно используют IP-спуфинг. Хотя некоторые из них относительно стары, другие очень уместны в отношении текущих проблем безопасности.

Спуфинг «не вслепую»

Этот тип атаки происходит, когда злоумышленник находится в той же подсети, что и жертва. Номера последовательности и подтверждения можно получить, устраняя потенциальную сложность их расчета. Захват сеанса достигается путем искажения потока данных установленного соединения, а затем восстановления его на основе правильной последовательности и номеров подтверждения с атакующей машины. Используя эту технику, злоумышленник может эффективно обойти любые меры аутентификации, предпринятые для построения соединения.

Спуфинг «вслепую»

Это более сложная атака, поскольку номера последовательностей и подтверждения недоступны. Несколько пакетов отправляются на целевую машину, чтобы перебирать порядковые номера. Сегодня большинство ОС реализуют генерацию случайных порядковых номеров, что затрудняет их точное прогнозирование. Однако если номер последовательности был скомпрометирован, данные могут быть отправлены на целевое устройство. Несколько лет назад многие машины использовали службы аутентификации на основе хоста. Грамотно созданная атака может слепо встраивать требуемые данные в систему (новую учетную запись пользователя), предоставляя полный доступ злоумышленнику, который выдавал себя за доверенный хост.

Атака «Man In the Middle»

Известная также как атака типа «человек посередине» (MITM). В этих атаках враждебная сторона перехватывает связь между двумя дружественными сторонами. Вредоносный хост затем управляет потоком связи и может устранить или изменить информацию, отправленную одним из исходных участников, не зная ни исходного отправителя, ни получателя. Таким образом, злоумышленник может обмануть жертву в раскрытии конфиденциальной информации путем «подмены» личности оригинального отправителя, которому предположительно доверяет получатель.

Атака, направленная на получение отказа в обслуживании

IP-спуфинг применяется в одной из самых сложных атак для защиты - «отказ в обслуживании» или DoS. Поскольку хакеры имеют дело только с потреблением полосы пропускания и ресурсов, им не нужно беспокоиться о правильном завершении транзакций. Скорее они хотят наводнить жертву как можно большим количеством пакетов за короткий промежуток времени. Когда в атаке участвует несколько взломанных хостов, принимающих все отправленные поддельные трафики, практически невозможно это быстро заблокировать.

Неправильные представления об IP-спуфинге

Хотя некоторые из описанных выше атак немного устарели, например, захват сеанса для служб проверки подлинности на основе хоста, IP-спуфинг по-прежнему распространен в сканировании сети, а также наводнениях отказа в обслуживании. Однако этот метод не предоставляет анонимный доступ в Интернет, что является распространенным заблуждением для тех, кто не знаком с этой практикой. Любое подобное подталкивание за пределами простых наводнений относительно продвинуто и используется в очень конкретных случаях, таких как уклонение и захват соединений.

Защита от спуфинга

Существует несколько мер предосторожности, которые можно принять для ограничения рисков IP-спуфинга в вашей сети, таких как фильтрация на маршрутизаторе, шифрование и аутентификация. Внедрение шифрования и аутентификации уменьшит вероятность подмены. Понимание того, как и почему используются атаки с использованием спуфинга, в сочетании с несколькими простыми методами предотвращения, может помочь защитить вашу сеть от этих вредоносных методов клонирования и взлома.

IP – самый базовый протокол в стеке TCP/IP , все остальные протоколы являются надстройками над ним, поэтому вынуждены играть по его правилам. А по правилам протокола IP, пакет, передаваемый по сети, должен иметь поля source IP (адрес отправителя) и destination IP (адрес получателя).

Врать не буду – точно не знаю, но если не все протоколы, то во всяком случае те из них, которые используются для клиент-серверных сеансов связи, в обязательном порядке должны придерживаться этой инструкции. Иначе ничего работать не будет: если нет адреса получателя, то неизвестно, куда такой пакет слать, если нет адреса отправителя – непонятно, зачем этот пакет пришел, так как невозможно на него ответить (некуда!). Итак, любое сетевое устройство (будь то получатель или что-нибудь промежуточное), получив пакет, всегда знает, от кого и к кому он идет.

Теперь давай подумаем, а каким образом source IP и destination IP попадают внутрь пакета? Ну, они записываются в пакет программным кодом, который этот пакет формирует. А откуда они берутся? Destination IP задает пользователь (или приложение, или что-нибудь еще – вариантов куча, все не перечислишь), когда вводит, скажем, “telnet 127.0.0.1” (в данном случае – destination IP=127.0.0.1 ), а source IP берется автоматически из настроек системы.

Ок, теперь мы знаем, что в каждом пакете есть destination IP и source IP , а также как они в этот самый пакет попадают. А теперь я скажу, что такое ip spoofing (да ты и сам, наверное, уже знаешь;)). Ip spoofing – это подмена реально source IP в пакете на ложный. То есть комп шлет пакет (много пакетов), а в поле “адрес отправителя” ставит не свой IP, а чужой (или вообще не существующий). Вот тут-то и начинается веселье: Инет построен так, что проверить достоверность указанного в пакете source IP очень сложно. На этом и построено огромное количество разрушительных DoS-атак . Например, DoS-умножение и циклические пакетные шторма.

КАК ДЕЛАЕТСЯ IP СПУФИНГ?

Хватит теории, давай перейдем к конкретным действиям:). Теоретически существует два способа подменить source IP в пакете: изменить IP своей системы на нужный, чтоб он автоматически добавился в пакет, когда тот будет формироваться, или сформировать пакет самостоятельно, записав в него какой угодно source IP . Второй способ значительно лучше, если не сказать, что первый вообще очень сомнительный. Дело в том, что, во-первых, IP, на который перенастраиваеться система, должен быть свободен, а во-вторых, ответы будут приходить на этот же IP, а он уже стал IP-шником нашей системы – это уже не спуфинг.

Так что катит только первый способ. Но, как обычно бывает в таких случаях, он проблемный. Если делать все правильно, придется компилировать, программировать и т.д. Если это тебя не пугает, поищи на поисковиках следующие вещи: ipspoof.c, IP-spoof-2.txt, spoofit.h, spoof.c. Это исходники и библиотеки на сиях, реализующие спуфинг.

Разобраться будет сложно, так как все эти проги ориентированы на спуфинговые атаки, при которых атакующий не просто отправляет пакеты не со своим родным IP внутри, но и продолжает поддерживать связь с атакуемым, постоянно выдавая себя за другого. При DoS-атаках это не требуется – достаточно просто отправить пакеты, не заботясь об их дальнейшей судьбе (главное – отправлять их постоянно и побольше;)). Так что то, что лежит в этих исходниках, на порядок сложнее того, что нужно нам.

Спрашивается: зачем себя мучить, ломая лишний раз голову над сложными проблемами, если можно воспользоваться уже готовыми тулзами? Согласен, разобравшись с spoofit.h и ipspoof.c один раз, всегда можно будет написать конкретную прогу для конкретных целей, и это будет правильнее, чем пользоваться уже готовыми тулзами. Но бошка ведь тоже не железная и имеет свойство раскалываться, если всегда все делать по максимуму правильно и дотошно:). Так что давай сделаем так: кодинг я оставлю на твое усмотрение, а сам тебе расскажу про проги, при помощи которых можно спокойно спуфить и устраивать злейшие DoS-атаки, особо не напрягаясь.

SING-1.1

Что нужно, чтоб организовать DoS-умножение? Правильно, отправить какой-нибудь пинг на широковещательный адрес здоровенной сети, подменив в нем source IP на айпишник жертвы. Стало быть, нужна такая прога, которая умеет отправлять ICMP-пакеты, подменяя в них адрес отправителя. Такая прога есть:). Называется sing и имеет текущую версию 1.1. Скачать можно тут: http://download.sourceforge.net/sing/ . После даунлода архивчик надо распаковать, а полученный исходник отконфигурировать (./configure) , откомпилировать (make ) и проинсталлировать (make install) – если тебя все это парит, скачай какую-нибудь rpm-ку (или какой у тебя там дистриб линя?).

Теперь прогу можно вызвать, набрав в командной строке “sing”. Sing – это сетевая тулза, умеющая формировать практически любые ICMP-пакеты , спуфить адрес в них и даже определять удаленную ОС (последнее вряд ли может пригодиться, так как есть nmap, который великолепно справляется с этой задачей). Итак, sing установлен: первым делом ввожу:

Вроде все хорошо – спуфенный пинг прошел (пакеты вернулись, т.к. я пока использую loopback ). Но мне хочется проверить, все ли ОК. Давай я запрещу файрволу пропускать любые пакеты с 127.0.0.1 , попробую пропинговаться обычным ping-ом (который, естественно, все будет слать с 127.0.0.1), а потом попробую пролезть через файрвол sing -ом, меняя 127.0.0.1 на 127.0.0.2. Ввожу:

ipchains -A input -s 127.0.0.1 -j DENY

ipchains - A input - s 127.0.0.1 - j DENY

Опппа!!! Все получилось! Sing обдурил файрвол, прикинувшись, что пакеты идут с 127.0.0.2, а не с 127.0.0.1 , который блокируется!
А пакеты вернулись потому, что я использовал loopback: моя система слала ответы на 127.0.0.2, но они пришли к ней же обратно, так как это, как и 127.0.0.1, тоже ее петлевой адрес. Хорошо, теперь попробуем проделать то же самое с удаленной системой. Я буду иллюстрировать все на примере сервака m-net.arbornet.org (да не обидятся на меня его админы;)). Сначала просто пингую (ping- ом или sing- ом без спуфа – все равно).

Спуфинг довольно интересный метод атак, которым многие профессионалы в области ИБ пренебрегают. А зря, очень даже зря. Из данной статьи ты поймешь, насколько обманчив может быть этот многообразный мир. Не верь своим глазам!

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Intro

Зачастую от коллег по цеху мне приходится слышать, что спуфинг как вектор атаки не стоит даже и рассматривать. Однако смею тебя заверить: если методы спуфинга тщательно продуманы, то использовать их можно для очень и очень многого. Причем масштабы и результаты таких атак порой бывают катастрофическими. Ведь, обманув твои глаза один раз, я буду обманывать тебя и дальше. Самый главный аргумент в пользу того, что spoof-атаки представляют реальную опасность, - от них не застрахован ни один человек, включая и профессионалов. Здесь нужно заметить, что сам по себе спуфинг ничего не дает: для проведения действительно хакерской атаки необходимо использовать постэксплуатацию (post-exploitation). В большинстве случаев цели постэксплуатации заключаются в стандартном захвате управления, повышении привилегий, массовом распространении вредоносных программ и, как следствие, краже персональных данных и электронно-цифровых ключей банковских систем с дальнейшим отмыванием денег. В этой статье я, во-первых, хочу рассказать о том, какие вообще бывают методы спуфинга, и, во-вторых, подробно рассказать тебе о некоторых современных подходах. Естественно, вся информация предоставляется тебе лишь с целью помощи в защите от такого рода атак.

Прошлое и настоящее спуфинга

Изначально термин «spoofing» использовался как термин сетевой безопасности, подразумевающий под собой успешную фальсификацию определенных данных с целью получения несанкционированного доступа к тому или иному ресурсу сети. Со временем этот термин начал употребляться и в других сферах инфобезопасности, хотя большинство так называемых old school специалистов и сегодня продолжают использовать слово «spoofing» только лишь для уточнения типа сетевых атак.

Первые IDN-клоны

Атаку с использованием IDN-омографов впервые описали в 2001 году Евгений Габрилович и Алекс Гонтмахер из израильского технологического института Технион. Первый известный случай успешной атаки, использующий данный метод, был предан огласке в 2005 году на хакерской конференции ShmooCon. Хакерам удалось зарегистрировать подставной домен pаypal.com (xn--pypal-4ve.com в Punycode), где первая буква а - кириллическая. Благодаря публикации на Slashdot.org к проблеме было привлечено внимание общественности, после чего как браузеры, так и администраторы многих доменов верхнего уровня выработали и реализовали контрмеры.

Итак, когда Сеть только зарождалась, большинство усилий программистов и разработчиков были направлены в основном на оптимизацию алгоритмов работы сетевых протоколов. Безопасность не была настолько критичной задачей, как сегодня, и ей, как часто это бывает, уделяли очень мало внимания. Как результат, получаем банальные и фундаментальные ошибки в сетевых протоколах, которые продолжают существовать и сегодня, несмотря на различного рода заплатки (ибо никакой заплатой не залатать логическую ошибку протокола). Здесь необходимы тотальные изменения, которые Сеть в существующем представлении просто не переживет. Например, в статье «Атаки на DNS: вчера, сегодня, завтра» (][#5 2012) я рассказывал о приводящих к катастрофическим последствиям фундаментальных уязвимостях в DNS-системах - использовании протокола UDP (который, в отличие от TCP/IP, является небезопасным, так как в нем отсутствует встроенный механизм для предотвращения спуфинга) и локального кеша.

Векторы

В зависимости от целей и задач векторы спуфинга можно разделить по направлениям на локальные (local) и сетевые (net). Именно их мы и рассмотрим в этой статье. В качестве объекта атак при локальном векторе чаще всего рассматривается непосредственно сама ОС, установленная на компьютере жертвы, а также определенного рода приложения, которые зачастую требуют дополнительного анализа в зависимости от ситуации. Объекты атак при сетевом векторе, напротив, более абстрагированны. Основными из них являются компоненты информационных систем, представленных как локальными, так и глобальными сетями. Рассмотрим основные виды спуфинга.

  • Spoofing TCP/IP & UDP - атаки на уровне транспорта. Из-за фундаментальных ошибок реализации транспорта протоколов TCP и UDP возможны следующие типы атак:
    • IP spoofing - идея состоит в подмене IP-адреса через изменение значения поля source в теле IP-пакета. Применяется с целью подмены адреса атакующего, к примеру, для того, чтобы вызвать ответный пакет на нужный адрес;
    • ARP spoofing - техника атаки в Ethernet-сетях, позволяющая перехватывать трафик между хостами. Основана на использовании протокола ARP;
    • DNS Cache Poisoning - отравление DNS-кеша сервера;
    • NetBIOS/NBNS spoofing - основана на особенностях резолва имен локальных машин внутри сетей Microsoft.
  • Referrer spoofing - подмена реферера.
  • Poisoning of file-sharing networks - фишинг в файлообменных сетях.
  • Caller ID spoofing - подмена номера звонящего телефона в VoIP-сетях
  • E-mail address spoofing - подмена адреса e-mail отправителя.
  • GPS Spoofing - подмена пакетов со спутника с целью сбить с толку GPS-устройство.
  • Voice Mail spoofing - подмена номеров голосовой почты с целью фишинга паролей жертвы.
  • SMS spoofing - метод спуфинга, основанный на подмене номеров отправителя SMS-сообщения.
    • Новейшие наработки в области спуфинга

    Наиболее распространенные техники уже довольно стары и избиты. Глобальная сеть буквально кишит информацией о возможных вариациях их эксплуатации и защиты от них. Сегодня мы рассмотрим несколько новейших методов спуфинга, применение которых только набирает обороты, начиная с локальных векторов и заканчивая сетевыми. Итак, все по порядку.

    Flamer и скандальный спуфинг сертификатов Microsoft

    Microsoft Security Advisory (2718704) - Unauthorized Digital Certificates Could Allow Spoofing. Довольно интересная вещь была найдена в экземплярах нашумевшего шпионского бота Flamer: по результатам реверс-инжиниринга компонентов этого зловреда был обнаружен участок кода, отвечающий за проведение спуфинг-атак типа фишинг. Имитируя предоставление оригинальных сертификатов крупных компаний, бот проводил MITM-атаку, целью которой был перехват персональных данных пользователей корпоративной сети с последующей отправкой на сервер разработчиков. Этот спуфинг-инцидент получил Security Advisory #2718704 с рангом опасности High.

    Спуфинг в ОС 1. Extension Spoofing - спуфинг расширения файла

    Техника, увидевшая свет благодаря наработкам китайского исследователя в области информационной безопасности Zhitao Zhou. Суть данной техники заключается в использовании управляющего символа 0x202E (RLO) в имени файла, что позволяет изменить порядок символов при отображении названия файла в проводнике Windows (explorer.exe). Приведу пример использования этой простой техники:

    Super music uploaded by 3pm.SCR

    Файл 3pm.SCR представляет собой не что иное, как исполняемый файл, реализующий определенные функции (троянская программа. - Прим. редактора). Если в начале имени файла «3pm.SRC» вставить управляющий символ 0x202E (см. рис. 1), то порядок символов меняется на обратный и имя файла отображается в проводнике Windows уже иначе:

    Super music uploaded by RCS.mp3

    Для изменения иконки файла следует использовать любой редактор ресурсов (Restorator, Resource Hacker). Данная техника рассчитана на неосторожного пользователя, который может принять этот файл за песню и открыть двойным щелчком, тем самым запустив зловредную программу. К сожалению, данная техника не будет работать в программах - аналогах проводника, поддерживающих Юникод. Ниже приведен код на C#, который выполняет изменение имени файла, добавляя в начало управляющий символ 0x202E:

    Public Sub U_202E(file As String, extension As String) Dim d As Integer = file.Length - 4 Dim u As Char = ChrW(823) Dim t As Char() = extension.ToCharArray() Array.Reverse(t) Dim dest As String = file.Substring(0, d) & u & New String(t) & file.Substring(d) System.IO.File.Move(file, dest) End Sub

    2. File Name Spoofing - клонирование имени файла

    Данная техника была представлена японским исследователем Yosuke Hasegawa на конференции Security-Momiji. Она основана на использовании символов нулевой длины (ZERO WIDTH Characters), которые никак не влияют на отображение названия файла (см. рис. 2). Ниже приведены все символы из этой категории:

    U+200B (ZERO WIDTH SPACE) - U+200C (ZERO WIDTH NON-JOINER) - U+200D (ZERO WIDTH JOINER) - U+FEFF (ZERO WIDTH NO-BREAK SPACE) - U+202A (LEFT-TO-RIGHT EMBEDDING)

    Помимо этого возможно использовать кодировку UTF для фальсификации имен существующих файлов. Данную технику часто применяет современная малварь. В поле моего зрения попадались образцы вредоносов, которые проводили такого рода атаки. К примеру, зловред TrojanDropper:Win32/Vundo.L (использовался для фишинга сайтов vk.com, vkontakte.ru, *odnoklassniki.ru) задействует именно эту технику.


    Файл %SystemRoot%\system32\drivers\etc\hosts копировался в файл-«клон» hosts с UTF-символом «о» (0х043E), после чего оригинальному файлу hosts придавался атрибут скрытого файла и его содержимое перезаписывалось с добавлением следующих записей:

    92.38.66.111 odnoklassniki.ru 92.38.66.111 vk.com 92.38.66.111 vkontakte.ru


    Спуфинг веб-браузеров 1. Status bar / Link spoof

    Принцип данной атаки заключается в динамической подмене адреса гипертекстовой ссылки (). К примеру, жертва наводит курсор мыши на ссылку, после чего в статусбаре браузера отображается адрес, по которому ведет данная ссылка. После клика на ссылку хитрый JavaScript-код подменяет в динамике адрес перехода. Мой знакомый исследователь, известный под ником iamjuza, занимался изучением и разработкой PoC для эксплуатации данной техники на практике, но его разработки не были универсальны и действовали только на конкретных браузерах. Проведя аналогичное исследование, я получил более удачные результаты, сумев добиться универсальности эксплуатации этой техники спуфера для всех браузерных движков. Proof-of-Concept опубликован на ресурсе 1337day.com . Техническая реализация выглядит следующим образом:

    Method this.href=" :

     

     
    Это интересно: