Vyhledávání

Když jsem před pár lety psal článek věnovaný XSS Proxy, byl vývoj podobných nástrojů ještě v plenkách. Od té doby se toho však hodně změnilo a kromě Proof of Conceptu, který představoval XSS Proxy od Antona Ragera, přibylo mnoho zajímavých aplikací tohoto druhu.

Ač se to může zdát zvláštní, je pomocí JavaScriptu možné vytvořit i keylogger, který bude zaznamenávat stisknuté klávesy. Nemyslete si ale, že se bude jednat o běžný keylogger, který znáte z prostředí OS, a který vám umožní zjistit přístupové heslo do systému.

O sledování pohybu uživatelů na Internetu toho bylo napsáno již mnoho. Běžný uživatel ale těmto textům často příliš nerozumí. Protože se ovšem komise Evropské unie začala před časem otázkám sledování uživatelů na Internetu podrobněji věnovat a jedná se tedy o aktuální téma, pokusím se problematiku přiblížit i běžným uživatelům.

Ještě nedávno jsem se domníval, že Like Button (tlačítko "Líbí se mi to") od Facebooku je tím nejlepším způsobem, jak zamezit zmanipulování webového hlasování a tím i ovlivňování výsledků soutěží na tomto hlasování postavených. Dnes už si to nemyslím...

Content Security Policy je konečně nástroj, který tvůrcům webových aplikací skutečně pomůže v boji proti Cross Site Scriptingu. Zajímá-li vás, jakým způsobem na to jde, čtěte dále...

Víkend od 11. do 13.března 2011 byl pro pár lidí skutečně výjimečným. Konala se totiž již šestá session příznivců webového serveru SOOM.cz. O tom, jak to na střetnutí vypadalo, kdo nakonec dorazil a co se řešilo, pojednává tento report.

Zneužitím XSS zranitelnosti je mimo jiné možné provést také změnu atributu action u legitimních přihlašovacích formulářů. Díky tomu mají útočníci možnost zjistit naprosto jednoduchým způsobem přihlašovací údaje uživatelů.

Následujících několik dílů seriálu bude věnováno krádežím přihlašovacích údajů. V tomto dílu se zaměříme na krádeže hesel uložených webovým prohlížečem.

Poslední z dílů věnovaných skriptům pro průzkum vnitřní sítě bude zaměřen na fingerprinting. Tentokrát tedy budeme zjišťovat typ aktivního prvku nebo webové aplikace, která běží v intranetu.

Když už dokážeme zjistit, která zařízení jsou v síti "živá", nic nám nebrání zjistit také porty, na kterých tato zařízení naslouchají. Scanování portů bude proto tématem tohoto dílu.