Копипаст Уязвимость Open Redirect - Фишинг/DDOS

600

Брутер
Администратор
01.01.2000
620
287
Гавайи, США
brute.fun
Источник:
Вход или Регистрация чтобы посмотреть ссылку.

Данная статья была куплена и вся полная. В этой теме предоставлена исключительно платная статья.

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Эксплуатация уязвимости. Основные угрозы

Фишинг
Для атаки злоумышленник отправляет на почту письмо со ссылкой
Вход или Регистрация чтобы посмотреть ссылку.
. Жертва видит доверенную ссылку и попадает по ней на страницу, идентичную оригинальному сайту. Далее человек вводит логин и пароль, которые злоумышленник и сохраняет с помощью скрипта.

С помощью этой уязвимости
Вход или Регистрация чтобы посмотреть ссылку.
фишинг сайта Visa. Также уязвимость использовалась для
Вход или Регистрация чтобы посмотреть ссылку.
. Люди переходили по баннеру, в котором была уязвимая ссылка, и она отправляла их на фишинговый сайт.

Вход или Регистрация чтобы посмотреть ссылку.


Совмещение с другой уязвимостью
Другой вариант атаки сводится к отправке человека на сайт, содержащий эксплоит для браузера или CSRF. Также можно совместить Open Redirect с XSS, как это было
Вход или Регистрация чтобы посмотреть ссылку.
исследователем с сайтом google.com.

Способы совмещения могут быть самыми разными. Нужно просто сидеть и внимательно и упорно пробовать разные варианты.


Open Redirect для DDoS
На GitHub есть интересный скрипт, который использует открытое перенаправление для атак DDoS.

Вход или Регистрация чтобы посмотреть ссылку.


Автор описывает UFONet как ботнет для проведения Layer 7 DDoS атак (в учебных целях, конечно же).

Вход или Регистрация чтобы посмотреть ссылку.


В интернете есть видео, где хакеры используют UFONet против реальных сайтов. Можешь скачать и порезвиться с ним на своем сайте. Но многого ожидать от него не стоит!

$ ls -l
$ git clone
Вход или Регистрация чтобы посмотреть ссылку.


Открытая уязвимость в Google
В 2016 году исследователь
Вход или Регистрация чтобы посмотреть ссылку.
уязвимость в Google. Она заключается в том, что при переходе по ссылке с редиректом открывается обычная страница авторизации в Google. Ссылка выглядит примерно так:

Вход или Регистрация чтобы посмотреть ссылку.

Вход или Регистрация чтобы посмотреть ссылку.


Открывшего ее перебросит на сайт evil.com/_ah/conflogin/. Как это можно использовать? Разработчики Google ответили исследователю, что Open Redirect сам по себе не считается уязвимостью, и не стали закрывать эту дыру. Но злоумышленники взяли ее в оборот и активно используют. Рассмотрим подробнее их методы атаки.


Доставка ссылки
При точечной атаке обычно идет прямое взаимодействие с жертвой: под любым предлогом и любым способом ей передается уязвимая ссылка. При массовой атаке злоумышленники рассылают спам или размещают ссылку на сайтах, где жертва не сможет устоять и кликнет.

Один из вариантов такого спама — когда на почту (не Gmail) приходит письмо о том, что аккаунт связан с ящиком Gmail. В теле письма предлагается войти в аккаунт под разными предлогами.

Вход или Регистрация чтобы посмотреть ссылку.


Методы атак
Фишинг аккаунта Google
Пользователь после перехода по ссылке в письме попадает на страницу авторизации google.com. Там он вводит данные, но потом видит такое же окно авторизации с сообщением об ошибке в данных (хотя данные введены были верно). В чем тогда дело? Обычно человек думает, что опечатался или ввел не тот пароль.

Вход или Регистрация чтобы посмотреть ссылку.


В реальности же он уже находится на сайте злоумышленника! Просто этот сайт отображает фейковое окно, неотличимое от логина в Google.

Данные, введенные в этом окне, будут отправлены скрипту на PHP, который сохранит их на сервере злоумышленника.

PHP:
Вход или Регистрация чтобы посмотреть код.
После нажатия на кнопку жертва перенаправляется на ее страницу с письмами, не подозревая, что она скомпрометирована. Хакер по ту сторону монитора радостно ухмыляется, увидев заветные данные.

Заражение вирусом
Точно таким же способом жертву после окна авторизации в google.com можно перенаправить на сайт с «обновлением» браузера, где человека просят скачать вирусный файл.

Вход или Регистрация чтобы посмотреть ссылку.


После загрузки жертва перенаправляется на страницу с письмами и ничего не подозревает. Есть большой шанс, что пользователь порадуется «обновленному браузеру» и сам установит себе вирус.

Фишинг других аккаунтов (PayPal, Amazon, Vkontakte и прочие)
После окна авторизации в google.com жертва попадает на страницу «своей» почты. Однако все последние письма — от определенного сайта, который настойчиво просит войти в аккаунт под любым предлогом.

Вход или Регистрация чтобы посмотреть ссылку.


На самом деле это фейковая почта, муляж, в котором не работает ничего, кроме открытия письма. В самом письме содержится ссылка на фишинговый сайт с замаскированным доменом. К примеру, paypal.login-com.com. Невнимательная жертва в шоке переходит по ней на сайт злоумышленника и отдает ему свои данные.


Итог
Уязвимость Open Redirect — ошибка разработчиков сайта, которая позволяет злоумышленникам незаметно перенаправлять пользователей куда угодно и подсовывать им что угодно. Чтобы ее избежать, необходимо как минимум уведомлять пользователя о перенаправлении.

Интернет кишит уязвимостями. Плохие русские (и не только русские) хакеры не спят и зарабатывают, как могут, воруя чужие данные. В то время как товарищи в белых шляпах получают свои тысячи долларов, находя подобные уязвимости в программах Bug Bounty.

В общем, будь начеку, проверяй URL в адресной строке, никуда не логинься по ссылкам из почты и обращай внимание, если окно авторизации вдруг возникло из ниоткуда или выглядит хоть сколько-нибудь подозрительно. Предупреди о такой возможности менее подкованных друзей и родственников. Ну а если хочешь изучить Open Redirect еще подробнее или прокачать свой навык работы с ним, то рекомендуем полезные сайты по ссылкам ниже.
 

Сейчас смотрят эту тему: 0