WEP lekcja #14 – Atak CSRF z użyciem cross-site scripting (XSS)

W dzisiejszym wideo kontynuującym temat ataków cross-site scripting, powiemy sobie wracając ponownie do ataku CSRF o automatycznej zmianie hasła za pomocą zapytania HTTP GET. Jak pamiętasz za pomocą spreparowanego linku i podatności typu cross-site request forgery haker mógł zmienić w podstępny sposób hasło użytkownika witryny internetowej.

Teraz pokażemy jak taki atak crackerski można zautomatyzować z pomocą JavaScript i luki  reflected lub stored XSS. Wykorzystamy do tego przykładowy mechanizm komentarzy dostępny w skrypcie szkoleniowym Damn Vulnerable Web Application.
Czytaj więcej

WEP lekcja #9 – Atak cross site request forgery (XSRF/CSRF)

W dzisiejszej #9 lekcji poznasz specyficzny atak o nazwie cross-site request forgery. W uproszczeniu atak ten polega na wysłaniu złośliwego żądania HTTP w imieniu ofiary. Przykładowo gdy audytor bezpieczeństwa odnajdzie lukę typu XSRF/CSRF, może spróbować nakłonić do wywołania danej akcji na stronie internetowej administratora lub zwykłego użytkownika strony (zmiana hasła, dodanie artykułu, zmiana ustawień witryny, zmiana podpisu na forum www itd) .

Jak wyżej wspomnieliśmy zaatakowana i oszukana ofiara, nieświadomie wywołuje pewną funkcjonalność strony. Tego typu luka często wykorzystywana jest z atakami typu XSS lub po prostu socjotechnicznymi. Wszystko zależy od budowy samej strony internetowej. O atakach XSS i języku JavaScript w połączeniu z CSRF dowiesz się z kolejnych lekcji. Czytaj więcej