Ата­ка типа browser-in-the-browser — при­мер того, как отно­ситель­но прос­тые уяз­вимос­ти, такие как XSS, или даже баналь­ные эле­мен­ты вро­де внеш­него чата под­дер­жки могут эво­люци­они­ровать в серь­езную угро­зу. Осо­бен­но если такие эле­мен­ты уста­нав­лива­ются без дол­жно­го кон­тро­ля.

Нап­ример, на стра­нице авто­риза­ции может находить­ся вид­жет онлайн‑чата, под­клю­чен­ный с внеш­него ресур­са. Ком­про­мета­ция такой биб­лиоте­ки спо­соб­на пре­дос­тавить зло­умыш­ленни­ку пол­ный дос­туп к сай­ту — с точ­ки зре­ния выпол­нения кода на сто­роне кли­ента.

О пос­ледс­тви­ях недо­оцен­ки подоб­ных рис­ков мож­но судить по слу­чаю из моей прак­тики рас­сле­дова­ния. Один из обра­тив­шихся ко мне людей однажды вечером про­шел авто­риза­цию через вид­жет на сай­те, пос­ле чего играл в онлайн‑казино. Уже на сле­дующее утро он обна­ружил про­пажу зна­читель­ной сум­мы — 200 мил­лионов руб­лей. Где играл, там и про­играл...

info

Под­робнее об этом слу­чае читай в моей пре­дыду­щей статье — «Пас­халка в Telegram. Как я нашел спо­соб авто­ризо­вать­ся без кла­уд‑пароля и уве­дом­лений».

Осо­бен­но показа­тель­ной была реак­ция со сто­роны казино: их пред­ста­вите­ли пол­ностью исклю­чили воз­можность подоб­ной ата­ки, хотя, как выяс­нилось, логиро­вание оши­бок фрон­тенда не работа­ло уже месяц, а к внеш­ним биб­лиоте­кам они отно­сились по прин­ципу «Под­клю­чены и под­клю­чены, чего бух­теть‑то...».

 

BitB: фишинговая атака нового уровня

BitB (browser-in-the-browser) — это прод­винутая фишин­говая тех­ника, осно­ван­ная на базовых при­емах ими­тации интерфей­са, то есть на фей­ках. Основная цель — кра­жа поль­зователь­ских дан­ных, ори­енти­рован­ная на сце­нарии с авто­риза­цией через SSO и OAuth. Имен­но ори­ента­ция на такие механиз­мы вхо­да и выделя­ет BitB в отдель­ную катего­рию атак.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии