Кодграбберы business-club.biz Гарант сервис
Все Авиа Фальшденьги и переводы
Регистрация FAQs
  business-club.biz > FORUM > Новости киберпреступности

Новости киберпреступности Новостная сводка мировой киберпреступности

 
Опции темы Опции просмотра
  #1  
30.04.2016, 23:17
Аватар для Admin
Admin Admin вне форума
Депозит: 0
Administrator
Регистрация: 30.11.2010
Адрес: business-club
Сообщений: 3,838
Admin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспоримаAdmin репутация неоспорима
 
По умолчанию

Не можешь атаковать шифрование – ищи проблемы в клиенте. Именно таким принципом руководствовался египетский исследователь Мохамед А. Басет (Mohamed A. Baset), когда искал возможность скомпрометировать Telegram. Данная тактика принесла плоды: Басет обнаружил уязвимость в веб-клиенте популярного мессенджера Telegram. В блоге исследователь рассказал, что веб-клиент Telegram оказался не защищен от обыкновенных кликджекинг-атак. Вместо заголовка X-Frame-Options веб-версия мессенджера использовала технику так называемого «выталкивания фреймов» (frame busting), чтобы предотвратить внедрение iframe на сайт. Воспользовавшись одной из особенностей HTML5, а именно добавив атрибут sandbox к своему iframe, Басен успешно атаковал веб-клиент, обойдя защиту. Исследователь рассказал, что дополнительно Telegram использовал еще один трюк: через CSS любым тегам HTML присваивалось значение «none», что сводило практически весь успех на нет. Однако Басена это не остановило. «Всё, что нам нужно, это просто заблокировать доступ к файлу стиля, который отвечает за главную страницу веб-приложения», — пишет исследователь. Для предотвращения доступа к https://web.telegram.org/css/app.css Басен предложил реализовать man-in-the-middle атаку или воспользоваться какой-либо другой техникой.
Успешно осуществив вышеописанное, злоумышленник получал возможность изменить конфиденциальные данные залогиненного пользователям Telegram (пароль, email для восстановления данных и так далее). Кроме того, атакующий мог отправлять сообщения от лица скомпрометированного пользователя, посылать запросы контактов и приглашения в группы. Также можно было отметить все сообщения пользователя, как прочитанные, дополнительно эксплуатировав CSRF (cross-site request forgery) баг в клиенте.

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

VPN надежно
Заливы, логи Отдых от Vaca

Текущее время: 04:28. Часовой пояс GMT.