Το προφίλ μας στο Google Plus
3

Οι ύπουλες Client-Side Attacks!

Επίθεση client side: Όταν ο επιτιθέμενος χρησιμοποιεί κάποιο καθόλα νόμιμο πρόγραμμα που βρίσκεται εγκατεστημένο στο PC του θύματος για να πετύχει το σκοπό του. Συχνά, ένα τέτοιο πρόγραμμα είναι ο web browser που χρησιμοποιεί το θύμα (Internet Explorer, Firefox κ.ά.) και ο τρόπος για να πετύχει ο επιτιθέμενος είναι η εκμετάλλευση κάποιας αδυναμίας είτε του web browser είτε του ίδιου …του θύματος!

deltaHacker Ιανουαρίου (τεύχος 004) | Οι ύπουλες Client-Side Attacks!

Οι επιθέσεις client side δεν είναι κάτι καινούριο. Εδώ και αρκετό καιρό όμως είναι της μόδας τόσο σε ερασιτεχνικό, όσο και σε επαγγελματικό επίπεδο . Η βάση τους συνήθως βρίσκεται σε μια αδυναμία του web browser που χρησιμοποιεί το θύμα. Κάνοντας χρήση αδυναμίας ο επιτιθέμενος μπορεί να κάνει πάρα πολύ επικίνδυνα πράγματα: από το να εξαπολύσει ένα DOS attack μέχρι να πάρει πλήρη πρόσβαση στο box του θύματος.

Το θετικό της υπόθεσης είναι ότι τέτοιες αδυναμίες συνήθως δεν “επιβιώνουν” για πολύ καιρό, αφού αργά ή γρήγορα το πρόβλημα αποκαλύπτεται και αντιμετωπίζεται με κάποιο patch. Επίσης, αυτές οι αδυναμίες μπορούν να λειτουργήσουν μόνο σε συγκεκριμένες εκδόσεις, συγκεκριμένου web browser. Υπάρχει όμως και μια άλλη προσέγγιση: Η επίθεση να γίνει απόλυτα νόμιμα και να μην εκμεταλλεύεται καμιά αδυναμία κανενός web browser, παρά μόνο την εμπιστοσύνη (ή την αφέλεια) του θύματος!

Στο παρόν κείμενο ξεκινάμε περιγράφοντας μια τέτοια επίθεση. Αμέσως μετά αναφέρουμε τα εργαλεία τα οποία θα μπορούσε να χρησιμοποιήσει ο επιτιθέμενος. Τέλος, δείχνουμε την επίθεση στην πράξη.

Διαβάστε όλο το άρθρο στο deltaHacker Ιανουαρίου (τεύχος 004). Όλες τις πληροφορίες για τις συνδρομές στο deltaHacker, το μοναδικό μηνιαίο περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα, θα τις βρείτε εδώ ακριβώς. Για παραγγελίες μεμονωμένων τευχών ή συνδρομών συμπληρώστε τη σχετική φόρμα.

Σημείωση: Οι συνδρομές μπορούν να ξεκινούν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.

3 Responses to “Οι ύπουλες Client-Side Attacks!”

  1. Mr_Root | 23/01/2012 at 22:46

    Μια χαζή ερωτησούλα
    Από την στιγμή που θα βάλουμε το java script
    σε κάποιο site τότε αυτό ενεργοποιήτε
    για οποιονδήποτε επισκέπτη σωστά;
    δηλαδή σε ένα site σαν το google θα έχουμε
    χιλιαδες υποψήφια θύματα σε δευτερόλεπτα
    Το κατάλαβα καλά ή μου ξέφυγε κάτι;

    • subZraw | 23/01/2012 at 22:48

      Καλά το κατάλαβες. Κι ευτυχώς που sites σαν το Google δεν είναι εύκολα τρωτά — ή τουλάχιστον έτσι νομίζω :)

  2. rekonga | 18/06/2015 at 17:35

    Γεια σας! Θα ήθελα να ξέρω που μπορώ να βρω το myelevate.exe

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων