Vyhledávání

V minulých dílech seriálu jsme se snažili získat důvěrné informace o samotném uživateli. V tomto a několika následujících dílech prozkoumáme vnitřní síť, ve které se uživatel nachází a zjistíme nějaké podrobnosti o jednotlivých zařízeních v této síti. Tento díl je tedy věnován základnímu scanování sítě.

Události včerejšího dne, kdy jsem byl nucen se blíže zabývat problematikou omezení přístupu k aplikaci během brute force útoku, mě přivedly k sepsání těchto pár řádků. Pokusím se na nich v krátkosti popsat útoky pro uhádnutí hesla a zkusím také nastínit správnou ochranu, která by těmto útokům měla bez vedlejších účinků účinně zabránit.

Dnes využijeme skutečností uvedených v minulém dílu k vytvoření anonymního password crackeru.

V tomto dílu si ukážeme, jakým způsobem je možné pomocí JavaScriptu rozhodnout, zda je uživatel přihlášen ke svému účtu v určité webové aplikaci.

Tentokrát pouze nepatrně upravíme kód skriptu z minulélo dílu, abychom dokázaly zjistit, které fráze (ze seznamu) byly hledány v konkrétním webovém vyhledávači.

První díl seriálu, ve kterém se budeme střetávat s útočnými kódy z prostředí JavaScriptu. Tentokrát se zaměříme na zjišťování navštívených sránek.

Webový portál Seznam.cz jistě není třeba představovat. Rozhodně totiž jde o nejznámější portál na českém Internetu. Již méně lidí má však skutečnou představu o tom, jak to ve společnosti takového rozsahu chodí, jak a kým je tento portál vyvíjen a spravován. Abyste si mohli tuto představu vytvořit a Seznam.cz pro vás nebyl jen jakousi černou skříňkou, požádal jsem o rozhovor Vlastimila Pečínku, ředitele výzkumu a vývoje v této společnosti. Vzhledem k zaměření našeho portálu se rozhovor ubíral hlavně k otázkám týkajícím se bezpečnosti při vytváření vznikajících aplikací a jejich následnému testování.

Od předchozího srazu, který se konal v roce 2008, uběhlo více času, než je zdrávo. Není se tedy čemu divit, když se ve webfóru začaly množit příspěvky volající po další schůzce příznivců portálu SOOM.cz. Tyto hlasy byly vyslyšeny a již za pár dnů nás tak čeká již šestá SOOM session v pořadí.

Jak je u mě zvykem, budu se i tentokrát věnovat zranitelnosti XSS. Tentokrát popíši chybu, pomocí níž bylo do současné doby možné získat přístupové údaje k uživatelským účtům na Seznam.cz. Vzhledem k tomu, že se jedná o „pouhé“ XSS, bych si tento článek mohl zcela jistě odpustit. Nebudu se v něm ovšem ani tak věnovat samotné XSS zranitelnosti, jako spíše zneužívání persistentních XSS, které se projevují pouze po přihlášení pod naším vlastním účtem. Seznam.cz mi tak poslouží jen pro konkrétní demonstraci útoku. Uvedené postupy je nicméně možné aplikovat i u jakýchkoliv jiných webových aplikací, které obsahují podobně zranitelné místo.

Redakce e-zinu Crypto-world zve všechny zájemce k účasti na právě probíhající soutěži, kterou každoročně pořádá již od roku 2000.