Безопасность IIS



         

Сценарии и Java-апплеты - часть 2


Этот код вынуждал пользователей осуществлять вход в систему, посредством чего осуществлялось раскрытие имен пользователей и их паролей.

Сообщение электронной почты имело формат HTML, и код располагался в теге <textarea>. Поверх сообщения размещался прозрачный рисунок GIF, использовавший команду onMouseOver для запуска вложенного кода.

Данный код обманным способом перехватывал имена пользователей и пароли, отображая окна входа с сообщением "You timed out of your session, please log-in" ("Период ожидания вашей сессии истек, пожалуйста, войдите заново"). Когда пользователь вводил свои имя и пароль, они передавались в базу данных на сервер хакера, а не на сервер Zkey. Чтобы пользователь ничего не заподозрил, код направлял пользователя обратно на сервер Zkey и осуществлял его вход в систему для продолжения сеанса.

Потенциальный размер ущерба от этой атаки был огромен. Получив полный контроль над учетной записью, хакер имел возможность выполнять следующие действия.

  • Загружать файлы с диска Z жертвы.
  • Удалять/заменять файлы на диске Z.
  • Осуществлять доступ и изменять контактную информацию жертвы.
  • Осуществлять доступ и изменять информацию, хранимую в календаре или расписании жертвы.
  • Изменять имя и пароль пользователя для запрета доступа пользователя к своей учетной записи.
  • Осуществлять доступ к любым общим устройствам диска Z из вторичных учетных записей.
  • Читать и удалять сообщения электронной почты Zkey или отправлять сообщения почты Zkey от имени жертвы.
  • Осуществлять доступ к электронной почте с любых вторичных учетных записей электронной почты, настроенных на проверку почты.

После демонстрации своих возможностей хакер поставил руководство портала Zkey в неудобное положение, придав огласке наличие уязвимого места. В качестве рекламы самого себя он заявил, что, несмотря на использование сайтом протокола защищенных сокетов SSL и наличие фильтров у службы электронной почты, он смог преодолеть оба барьера защиты.




Содержание  Назад  Вперед