Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla cyberprzestępców?
Jak kraść pieniądze w sieci? - przegląd technik używanych przez cyberprzestępców
-
Upload
owasp -
Category
Technology
-
view
242 -
download
0
Transcript of Jak kraść pieniądze w sieci? - przegląd technik używanych przez cyberprzestępców
Jak kraść pieniądzew sieci?
wykład nieetyczny ;)
UNKNOWJakub Mrugalski
Janusz• Ma mało pieniędzy, żonę,
trójkę dzieci, hipotekę na głowie i nie może znaleźć pracy
• zna się odrobinę na programowaniu(frontend + PHP)
• po prostu chce dorobić• chce dorobić za wszelką
cenę…
j4n00.sh
Może zarobię trochę kasy w programach partnerskich?
Dostaniemy pieniądze za dokonane zakupy
Aby zarabiać w PP, musimy posiadać popularną
stronę WWW…Sprawmy więc, aby stała się popularna ]:>
Typowy spam mailowyMinusy:• potrzebujemy serwera do wysyłki• szybko trafimy na czarną listę (RBL)• a kto dziś nie ma filtrów antyspamowych?
Użyjmy cudzych serwerów :)
• zwrotki mailowe• formularze kontaktowe• dziurawe skrypty PHP
SPF + PTR + DKIM
Spam na blogach• Komentarze• Statystyki GA / serwera• Formularz kontaktowy• Trackbacki
Spam w wyszukiwarce
ScrapeBoxi przyjaciele
Strona powinna się rozprzestrzeniać
‘wirusowo’
• automatyczny like• automatyczny share (niczym captcha)
Przecież na stronie spamera nikt nic nie
kupi…• a po co ma kupować? cookie stuffing!• <img src="link partnerski" />• <iframe src="link partnerski" />
Janusz postanowił handlować przedmiotami
w grze online
Potrzebujemy przejąć sesjęi wykonać kilka operacji w
grze
• Co to jest sesja?• Gdzie trzymane są dane sesyjne?• Jak zabezpieczyć sesję przed kradzieżą?• Kradzież własnej sesji?• Czy dane z wnętrza sesji są zaufane?
Janusz chciał wygrać kasę w konkursie…
Do konkursu można było wysłać własne zdjęcie!
Jak sprawdzić poprawność nadesłanej fotki?
• poprawne rozszerzenie?• dozwolony content-type?• ma odpowiednie wymiary?
Jedyna sensowna metoda?wygenerowanie obrazka
na nowo!
A co jeśli serwis nie posiada uploadu?
to wyślij plik do wyszukiwarki ;)
Głosowanie na zdjęcie
/search.php?q=kotyZabezpieczenia:• długość $q > 3 znaki• htmlspecialchars($q)• mysql_real_escape_string($q)
Głosowanie na zdjęcie
<img src="/search.php?q=%%%%" />sprawdzaj zakres podawanych znaków…
Głosowanie na zdjęciehttp://super-fajna-ankieta.pl/index.php?komunikat=<p>Dziekuje+za+oddanie+glosu</p>
XSS
Głosowanie na zdjęciehttp://super-fajna-ankieta.pl/index.php?komunikat=<p>Dziekuje+za+oddanie+glosu</p>
Nadal XSS
Głosowanie na zdjęcie
<p onmouseover="exploit-here">Thx!</p>
Głosowanie na zdjęcie
Zalecenia:• nie przyjmujemy kodu HTML od usera• strip_tags() + htmlspecialchars()• używamy predefiniowanych komunikatów
Głosowanie na zdjęcie
/glosuj.php?foto_id=31337
Głosowanie na zdjęcie
<img src="/glosuj.php?foto_id=31337" />
XSRF
Zmiany programisty:• dodał token anty-xsrf• zmienił metodę wysyłania danych na POST
Głosowanie na zdjęcie• Na stronie intensywnie wykorzystywane były pliki SWF• Webmaster stworzył politykę bezpieczeństwa dla Flasha• Szkoda tylko, że taką…
Głosowanie na zdjęcie
System ładowania podstron nie był zbyt ambitny…
Głosowanie na zdjęcie
System ładowania podstron nie był zbyt ambitny…
plik.php?page=../../../../../dowolny.plik%00
A może przerobićodwiedzających w botnet?
Prosta sztuczka wymuszająca instalację softu
Oszustwa SMS-owe• Strona z ofertą jest weryfikowana przez pośrednika• Wrzucanie strony do iframe + przycinanie jej• Wymuszanie wysłania SMSa
Janusz się obłowił, a my musimy kończyć…
UNKNOWwww: UW-TEAM.ORGtwitter: @uwteamwykop: imlmpeyoutube: uwteamorge-mail: [email protected]
Tak, to już jest koniec :]