Vyhledávání

Původně jsem zamýšlel, že tento text zveřejním jako 0-day exploit, který bude součástí seriálu věnujícího se clickjackingu. V souvislosti s nedávno zveřejněnou zranitelností IE, která dostala název Cookiejacking, mi to však nedalo a podělím se s vámi o různé varianty FFFjackingu (File From Frame hiJacking), jak jsem tuto metodu nazval, již nyní.

Před nedávnem spouštěl Seznam.cz novou službu Seznam TIP se zvýhodněnými nabídkami služeb a zboží. Tato služba se do povědomí uživatelů dostala hlavně díky úvodní akci na automobily Škoda Fabia za cenu 25Kč.

Při testování zabezpečení webových aplikací můžete často narazit na nezabezečený upload, či na zranitelnosti typu Remote File Inclusion (RFI) nebo Local File Inclusion (LFI).

O Cross-Site Request Forgery jsme na SOOM.cz již psali. Stále se ale jedná o jednu s nejrozšířenějších webových zranitelností, a když už přeci jen narazíte na aplikaci, která ochranu proti CSRF implementuje, zjistíte, že se často jedná o ochranu postavenou na kontrole hodnoty v request HTTP hlavičce Referer.

Pokud jste již někdy přišli do styku se sociálními pluginy (Like buttony, Commenty, apd.) od Facebooku při jejich vkládání do obsahu webové stránky, pak jste si mohli všimnout, že Facebook se vydal cestou "nejmenšího odporu" pro tvůrce webů.

Čeho si při použití XSS backdooru určitě brzy všimnete, je skutečnost, že jakmile klient opustí stránku, do které je injektován náš payload pro klientskou část, ztratíte nad klientem kontrolu...

Po úvodních článcích věnovaných XSS backdoorům, ve kterých jsme si představili nástroje BeEF a XSS Shell, přišel čas, abychom se tomuto druhu aplikací podívali pod kapotu a vytvořili si konečně svůj vlastní XSS backdoor.

Dnes se zaměříme na další nástroj z rodiny XSS backdoorů, jehož serverová část je vytvořena tak, aby běžela na platformě od Microsoftu. Ač nedisponuje tolika útočnými funkcemi jako minule představený BeEF, jedná se rovněž o silného pomocníka, který ve spojení s XSS Tunnelem nabývá nových rozměrů.

Jste stále na pochybách, zda byl včerejší článek o informacích dostupných o jednotlivých občanech reálný, nebo zda šlo jen o aprílový žertík? Chtěli byste vědět, jak to nakonec dopadlo?

(Apríl 2011)
Na serveru SOOM.cz jsme vás již několikrát informovali o praktikách společností, které se zabývají sběrem informací dostupných o jednotlivých lidech. Zajímá vás, co vědí právě o vás?