Вы используете устаревший браузер!

Страница может отображаться некорректно.

Незваные гости

Незваные гости

Другие выпуски этой рубрики (97)
  • добавить в избранное
    Добавить в закладки

Подмена, которую увидит лишь антивирус

Прочитали: 6914 Комментариев: 92 Рейтинг: 120

7 ноября 2017

Слово «скрипты», вероятно, уже порождает не самые радостные ассоциации у наших читателей. О них мы писали неоднократно, но еще ни разу не показывали в действии.

Давайте откроем, к примеру, заглавную страницу нашего сайта – drweb.ru – и прокрутим ее до конца вниз. Что мы там видим?

#drweb

Это не просто картинка – это скрипт, собирающий некую статистику. В общем-то нет ничего страшного в возможности узнать статистику посещаемости своих страниц. Проблема в том, что это – внешний скрипт, поставляемый чужой организацией. К чему это теоретически может привести?

Какой бы защищенный сайт ни был, если он включает внешний ресурс, то браузер пользователя можно обмануть и сказать, что сервер с ресурсом находится в другом месте (спуф DNS), что он доверенный (подкладывание сертификата), и далее, собственно, можно отдать любой скрипт (мой вариант отсылал мне все нажатия клавиш на странице).

Обратите внимание, что подложить сертификат вам может любой, кто имеет доступ к вашему браузеру (совсем необязательно админские права). А уж вирус с админскими правами или админ домена...

https://olegon.ru/showthread.php?t=27433

Насколько опасна такая подмена? Даже если исключить заражение компьютера, для злоумышленника остается возможность подмены скриптов при работе пользователя в общедоступных Wi-Fi-сетях. Соблюдаете ли вы осторожность при подключении к ним или кликаете по всем ссылкам подряд?

Итак, поскольку у меня номер от Beeline, то препарировать мы будем именно их личный кабинет.

#drweb

Уже на входе нас встречает пачка сторонних ресурсов. Это скрипты, которые загружаются с совершенно посторонних ресурсов, никак в процессе загрузки оригинальным сайтом не контролируются, зато имеют доступ практически ко всему содержимому. «Доступ» – это значит, что скрипт, программа для браузера, может как забрать какие-то данные со страницы, так и изменить их. А также может выполнить ряд каких-то действий за вас или предложить вам что-нибудь интимное увеличить, например, либо предложить установить какую-то программу, которую, как вы будете думать, устанавливаете с официального сайта.

Мне стало интересно, а кому, собственно, данные не попадают? Открываем кабинет и смотрим в браузере Chrome, какие скрипты выполняются. И смех и грех.

#drweb

тут и Facebook, и Google, и Twitter, и MailRu, Criteo, Rutarget, даже счетчик от Top100. Если смотреть не на скрипты, а во все ресурсы, то там еще и ВКонтакте с каким-то хешем светится, впрочем, от него тоже скрипты есть.

Если вы отвлеклись на перечень сервисов, напомню, это все те, кто с вами в личном кабинете, смотрит, что вы делаете, может видеть, сколько денег у вас на счету, в общем, видит то же, что видите в личном кабинете и вы.

Мимоходом упомяну, что скрипты могут подменить и третьи лица https://olegon.ru/showthread.php?t=27433, причем эти лица могут и SMS перехватывать , впрочем, для текущего разбора хватит и того, что огромное количество организаций, скорее всего, совершенно не имеющих отношения к вам, в курсе того, что, казалось бы, глубоко запаролено.

Небольшое видео (https://youtu.be/Z66TGPMVEuc) по тому, что можно творить внешними скриптами в личном кабинете.

Проходя мимо сайта оплаты МТС, случайно обнаружил протесты баннерорезки. К счастью, скриптов не очень много. Но популярная гуглоаналитика там есть. Прямо вот на страничке, где вы вводите номера карточек и CVV. Опишу происходящее на видео(https://youtu.be/4UwbdYvTPFQ), если кто-то не может его посмотреть. Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои. Это не взлом и целью выставить обнаруженное уязвимостью, нет, хотя некоторая вероятность такого тоже существует. Своими скриптами я благополучно собрал вводимые самим собой тестовые произвольные номера кредиток и отправил себе на сервер. Для демонстрации возможностей скрипта я еще и сумму оплаты поменял.

У Мегафона все то же самое. (https://youtu.be/m4gLXxlGz5g). Два скрипта, метрики и аналитики. Меняем на свои и наслаждаемся получением данных и изменением всяких текстов.

https://olegon.ru/showthread.php?t=27892

https://geektimes.ru/post/293487

Как самостоятельно проверить, какие скрипты использует открытая вами страница?

Chrome. Заходите в личный кабинет, нажимаете Shift-Ctrl-J, выбираете раздел Network, подраздел JS и нажимаете F5. В списке, который заполнится после этого, не должно быть никаких «чужих» адресов, только принадлежащие тому ресурсу, на котором вы находитесь.

Крайне желательно, конечно, чтобы в этот момент все расширения браузера были выключены.

#безопасность

Антивирусная правДА! рекомендует

Современные сайты, как правило, используют скрипты. При этом веб-разработчики далеко не всегда учитывают опасность этого. Да, взломать Google или «Яндекс» и подменить скрипты на их стороне сложно (хотя иногда реально). Но вот подменить скрипты при их получении – вполне возможно. «Прелесть» атаки для злоумышленников заключается в том, что скрипты для всех сайтов – стандартные. Таким образом, подменив всего один счетчик, можно взломать огромное количество самых разных сайтов.

Поэтому без антивируса, контролирующего загрузку веб-страниц, никуда!

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей

Комментарии к другим выпускам | Мои комментарии

 
На страницу: