Слово «скрипти», ймовірно, вже породжує не найрадісніші асоціації у наших читачів. Про них ми писали неодноразово, але ще жодного разу не показували в дії.
Давайте відкриємо, наприклад, головну сторінку нашого сайту - drweb.ru - і прокрутимо її до кінця вниз. Що ми там бачимо?
Це не просто картинка - це скрипт, який збирає якусь статистику. В общем-то немає нічого страшного в можливості дізнатися статистику відвідуваності своїх сторінок. Проблема в тому, що це - зовнішній скрипт, що поставляється чужий організацією. До чого це теоретично може привести?
Який би захищений сайт не був, якщо він включає зовнішній ресурс, то браузер користувача можна обдурити і сказати, що сервер з ресурсом знаходиться в іншому місці (спуф DNS), що він довірений (підкладання сертифіката), і далі, власне, можна віддати будь скрипт (мій варіант відсилав мені всі натискання клавіш на сторінці).
Зверніть увагу, що підкласти сертифікат вам може будь-хто, хто має доступ до вашого браузеру (зовсім необов'язково адмінських права). А вже вірус з адмінській правами або адмін домену ...
https://olegon.ru/showthread.php?t=27433
Наскільки небезпечна така підміна? Навіть якщо виключити зараження комп'ютера, для зловмисника залишається можливість підміни скриптів при роботі користувача в загальнодоступних Wi-Fi-мережах. Чи дотримуєтеся ви обережність при підключенні до них або клікаєте по всіх посиланнях поспіль?
Отже, оскільки у мене номер від Beeline, то препарувати ми будемо саме їх особистий кабінет.
Вже на вході нас зустрічає пачка сторонніх ресурсів. Це скрипти, які завантажуються з абсолютно сторонніх ресурсів, ніяк в процесі завантаження оригінальним сайтом не контролюються, зате мають доступ практично до всього вмісту. «Доступ» - це значить, що скрипт, програма для браузера, може як забрати якісь дані зі сторінки, так і змінити їх. А також може виконати ряд якихось дій за вас або запропонувати вам що-небудь інтимне збільшити, наприклад, або запропонувати встановити якусь програму, яку, як ви будете думати, встановлюєте з офіційного сайту.
Мені стало цікаво, а кому, власне, дані не потрапляють? Відкриваємо кабінет і дивимося в браузері Chrome, які скрипти виконуються. І сміх і гріх.
тут і Facebook, і Google, і Twitter, і MailRu, Criteo, Rutarget, навіть лічильник від Top100. Якщо дивитися не на скрипти, а в усі ресурси, то там ще й ВКонтакте з якимось хешем світиться, втім, від нього теж скрипти є.
Якщо ви відволіклися на перелік сервісів, нагадаю, це все ті, хто з вами в особистому кабінеті, дивиться, що ви робите, може бачити, скільки грошей у вас на рахунку, в загальному, бачить те саме, що бачите в особистому кабінеті і ви .
Мимохідь згадаю, що скрипти можуть підмінити і треті особи https://olegon.ru/showthread.php?t=27433 , Причому ці особи можуть і SMS перехоплювати ↴ , Втім, для поточного розбору вистачить і того, що величезна кількість організацій, швидше за все, зовсім не мають відношення до вас, в курсі того, що, здавалося б, глибоко запаролено.
Невелике відео ( https://youtu.be/Z66TGPMVEuc ) По тому, що можна творити зовнішніми скриптами в особистому кабінеті.
Проходячи повз сайту оплати МТС, випадково виявив протести баннерорезку. На щастя, скриптів не дуже багато. Але популярна гуглоаналітіка там є. Прямо ось на сторінці, де ви вводите номери карток і CVV. Опишу відбувається на відео ( https://youtu.be/4UwbdYvTPFQ ), Якщо хтось не може його подивитися. Обдуривши DNS, я перенацілив скрипти аналітики на свій веб-сервер, де їх благополучно підмінив на свої. Це не злом і метою виставити виявлене вразливістю, немає, хоча певна ймовірність такого теж існує. Своїми скриптами я благополучно зібрав вводяться самим собою тестові довільні номери кредиток і відправив себе на сервер. Для демонстрації можливостей скрипта я ще і суму оплати поміняв.
У Мегафона все те ж саме. ( https://youtu.be/m4gLXxlGz5g ). Два скрипта, метрики і аналітики. Міняємо на свої і насолоджуємося отриманням даних і зміною всяких текстів.
https://olegon.ru/showthread.php?t=27892
https://geektimes.ru/post/293487
Як самостійно перевірити, які скрипти використовує відкрита вами сторінка?
Chrome. Заходьте в особистий кабінет, натискаєте Shift-Ctrl-J, вибираєте розділ Network, підрозділ JS і натискаєте F5. У списку, який заповниться після цього, не повинно бути ніяких «чужих» адрес, тільки що належать тому ресурсу, на якому ви перебуваєте.
Вкрай бажано, звичайно, щоб в цей момент все розширення браузера були вимкнені.
Що ми там бачимо?До чого це теоретично може привести?
Php?
Чи дотримуєтеся ви обережність при підключенні до них або клікаєте по всіх посиланнях поспіль?
Мені стало цікаво, а кому, власне, дані не потрапляють?
Php?
Php?
