Čas:1.2.2017 9:03:56
Od:Ghost007
Předmět:?
Nejak tomu clanku nerozumim. Autor rika, ze lze prolomit sifru a chce ziskat uzivatelem zadane informace, ale jak? Popsanymi algoritmy maximalne prece pristup k udajum, co uzivatel zadal nezjisti. K cemu je stranka zrcadlici utajovany udaj, vzdyt tu vubec nepotrebuje a staci stranka zrcadlici libovolny udaj. Jde tedy o to uhodnout CSRF token a ten pak pouzivat?
Čas:1.2.2017 11:22:59
Od:Jan Novotný
Předmět:Re: ?
CSRF token je jen jedna z věcí, o které může mít útočník zájem. Nicméně je to jedna z věcí, která je obecně nejvíce zneužitelná pro další útoky. Nicméně tímto způsobem může útočník ze stránky dostat i další privátní informace, pokud se tam vyskytují. Namátkou mě třeba napadá - rodné číslo, bydliště, čísla smluv apod. Jednou z nutných podmínek pro útok je, aby se útočníkovi (kdekoliv na stránce) zrcadlily údaje, které stránce pošle v GET či POST parametrech. Pak je možné touto technikou efektivně hádat (znak po znaku) požadovaný údaj, který se na té stejné stránce vyskytuje shodou okolností také. Příklad: když budete mít v aplikaci fulltextové vyhledávání a zároveň v horní liště stejné stránky číslo smlouvy u jména přihlášeného uživatele, bude moci útočník číslo smlouvy touto technikou zjistit. Samozřejmě další podmínkou je ještě použití komprimačního algoritmu na straně serveru (více viz. odkazované blueprinty).
Čas:9.2.2017 14:33:05
Od:ghost007
Předmět:Re: Re: ?
Je to tedy tak, ze utocnik zachyti ten request, ktery uzivatel posila (coz samo od sebe neni jednoduche), pak musi zkouset trefit ten token a ten request znovu posle a tim se dozvi ty udaje?
Čas:20.2.2017 11:07:42
Od:Jan Novotný
Předmět:Re: Re: Re: ?
Vůbec ne, útočníkovi stačí zaplatit si HTML5 reklamu (kde se k animaci používá JavaScript) třeba na webu nějakého novinového deníku, kam uživatel chodí. Uživatel se pak přihlásí do chráněné webové aplikace, a ve vedlejším tabu si otevře novinový deník. Útočník mu pak z reklamního skriptu bude provádět HTTP GET požadavky např. přes generování "skrytých" DOM IMG objektů. Browser k požadavku připojí session cookie, takže odezva ze serveru bude obsahovat správný CSRF token. Útočník nemůže přistoupit k obsahu response serveru, obrázek by vypadal poškozený, protože se vrátí HTML a ne image content, ale to nikomu nevadí (obrázek bude styly pro uživatele skrytý). Podle rychlosti odezvy si pak útočný skript zjistí, nakolik se trefil. Na podobné dotazy jsem odpovídal už zde: http://blog.novoj.net/2017/01/31/prolomeni-sifrovaneho-protokolu-https/ https://www.zdrojak.cz/zpravicky/https-protokol-prolomen/?show=comments#comments
Diskuzní příspěvky
Ghost007 ?
Jan Novotný   Re: ?
ghost007   Re: Re: ?
Jan Novotný   Re: Re: Re: ?