Реклама:
1-й в Беларуси иллюстрированный товарно-ценовой справочник

Рассылка
Подписчиков: 14
Серверы, сетевое оборудование, тесты, характеристики, советы
Дата: 17.10.2019



Сумма Технологий - Серверные Системы

информационно-аналитический электронный журнал
stss.3dn.ru

Вторник, 12 июля 2011 года (1943 год – в районе Прохоровки в ходе Курской битвы состоялось крупнейшее танковое сражение второй мировой войны (с обеих сторон в битве участвовало до 1200 танков))

Новые виды атак на основе технологии кликджекинга

Кликджекинг – механизм обмана пользователей, при котором переход по ссылке на каком-либо сайте перенаправляет пользователя на вредоносную страницу – стал очень эффективным. Часто он используется для распространения через Facebook ссылок на вредоносные сайты. Недавно подобные техники показали свою эффективность в деанонимизации посетителей сайта. Также переход по хитрой ссылке может привести к тому, что злоумышленник получит доступ к данным OAuth. Давайте посмотрим, как это происходит.

Классическое применение кликджекинга – рапространение ссылок через Facebook

В классическом сценарии кликджекинга злоумышленник прячет кнопку «Like» или «Share» в прозрачном iframe. Этот iframe располагается над элементом страницы, на который должен нажать пользователь, также iframe может перемещаться за курсором мыши. При нажатии на элемент клик перенаправляется на невидимую кнопку «Like» или «Share». Такие действия не ограничивается Facebook`ом, злоумышленнику только нужно иметь возможность спрятать элементы другого сайта в iframe.

Ниже приведено типичное сообщение, которое можно увидеть в сети Facebook, если одно из ваших соединений было перехвачено с помощью кликджекинга:



Пройдя по ссылке, расшаренной вашим другом, вы попадете на сайт с видео YouTube. Однако, вы не увидите кнопок «Like», которые я выделил на приведенном ниже скриншоте:



Кнопки «Like» расположены там, куда пользователь обычно нажимает, чтобы просмотреть видео: в середине окна и в левом нижнем углу. Жертва не увидит эти кнопки, потому что они находятся в невидимом прозрачном iframe. Запустив это видео пользователь нажмет кнопку «Like», увеличивая популярность сайта на Facebook.

Новые вариации техник кликджекинга

В работе Clickjacking Attacks Unresolved, Линь-Шунг Хуанг (Lin-Shung Huang) и Коллин Джексон (Collin Jackson) рассмотрели более хитрые вариации кликджекинга. Например, они продемонстрировали, как злоумышленник может идентифицировать пользователя вредоносного сайта, запрашивая его информацию у Facebook.

Я записал демонстрационное видео деанонимизации пользователя. На видео показана кнопка «Like», которая перемещается за курсором жертвы, но в реальной атаке кнопка была бы невидимой. Когда пользователь неумышленно нажмет эту кнопку, он станет другом злоумышленника на Facebook (прошу прощения за возможную неточность в терминах Facebook, сам Facebook`ом не пользуюсь – прим. перев.) Затем
Страница злоумышленника через FB.Event.subscribe(‘edge.create’, …) узнает, что жертва нажала кнопку «Like», передает сообщение серверу злоумышленника, который получает список друзей и идентифицирует нового друга. Сервер запрашивает публичную информацию пользователя через Facebook Graph API, и удаляет пользователя из списка друзей.

Эти действия позволяют злоумышленнику получить публичные данные пользователя, включая id пользователя. Авторы работы демонстрируют эту атаку, проведя ее с помощью кнопки Твиттера «Follow»:



bugaga0112358

Читать продолжение подробнее >>>


Последние публикации в разделе «Новости и обзоры»:

  • «I-O Data представила серию «неторопливых» твердотельных накопителей SSDN-SV»
    Японская компания I-O Data анонсировала на местном рынке серию твердотельных накопителей SSDN-SV. В составе модельного ряда только два представителя, да и то не очень больших объемов — 64 (SSDN-SV64) и 128 (SSDN-SV128) ГБ...
  • «CyberPower выпускает свои первые игровые ПК на гибридных процессорах AMD серии A»
    Производитель игровых ПК, благодаря своей расторопности в освоении всевозможных новинок, частенько оказывающийся героем наших новостей, объявил о выпуске своих первых игровых ПК на гибридных процессорах (APU) AMD серии A...
  • «GIGABYTE G1.Sniper 2: официальные фото и подробности»
    На официальной страничке GIGABYTE в социальной сети Facebook появились высококачественные изображения материнской платы G1.Sniper 2, построенной на чипсете Intel Z68. Таким образом, спустя месяц после премьерного показа, состоявшегося на выставке Computex 2011, новинка представлена официально...
  • «Intel отправляет на пенсию шестиядерный Core i7-970 и еще три низковольтажных процессора для ноутбуков»
    Компания Intel сообщила о том, что в скором времени ее производственную гамму покинут четыре процессора — Core i7-970, Celeron U3400, Core i5-540UM и Core i7-660UM. Заявки на них будут приниматься до 27 января следующего года, а датой последней поставки процессоров Celeron U3400, Core i5-540UM и Core i7-660UM значится шестое июля 2012 года. В то же время шестиядерный Core i7-970 будет отгружаться до тех пор, пока не иссякнут складские запасы...
  • «SSD Intel 710 Series замечены в предложении европейских интернет-площадок, цены впечатляют»
    Твердотельные накопители Intel 710 Series, дебют которых должен состояться в ближайшее время, уже давно не являются загадкой — мы подробно рассказывали о них еще в середине прошлого месяца. По сути, единственное, что не было известно до недавнего момента, это стоимость накопителей, но и это уже не секрет: источнику удалось обнаружить SSD в предложении двух европейских интернет-магазинов...

Обзор полезного программного обеспечения с возможностью скачать:

  • VertigoServ, 2.24
    VertigoServ - это высокопрофессиональный и простой в установке набор, состоящий из Apache (HTTP веб-сервер), PHP (скриптовый язык программирования), MySQL (многопоточная, многопользовательская СУБД), SQLite (встраиваемый движок баз данных), SQLiteManager (многоязычная веб-утилита для управления БД SQLite), PhpMyAdmin (утилита, написанная на PHP для администрирования БД MySQL) и Zend Optimizer (который увеличивает производительность запущенных процессов на 40%) для платформы Windows...
  • Logs Viewer, 1.0.9
    Фильтр логов...
  • Wireshark, 1.0.4 for MacOS X
    Программа Wireshark предназначена для анализа пакетов Ethernet и некоторых других сетей...
  • InstantVNC, 1.40
    Программа InstantVNC предназначена для удаленного управления компьютером. Программа проста и не требует установки. Управлять компьютером, на котором запущена InstantVNC, можно при помощи любой программы, поддерживающей протокол VNC...
  • HelpSmith, 3.2
    Программа HelpSmith предназначена для создания файлов CHM HTML Help, Web Help и справочных файлов. Обладает мощным текстовым процессором, поддерживает юникод, имеется возможность проверки орфографии и многое др...

Новые темы форума для обсуждения

Серверы и серверное оборудование
  Тема Ответы Просмотры Автор темы Обновления
Комп + Локалка + Скоростной интернет = Сервер 0 1 NightBeast Сегодня, 11:26
Сообщение от: NightBeast
Время создания RAID5 1 32 boubDruth 13.07.2011, 11:24
Сообщение от: singletone
Господа!! Помогите, умер SCSI HDD (IBM) 3 105 Trurfaria 24.06.2011, 11:27
Сообщение от: Trurfaria
Серверная мать S845WD1-E 8 239 DownOfMorale 20.05.2011, 16:00
Сообщение от: DownOfMorale
Посоветуйте RAID-SCSI и стриммер 1 207 wertal 15.03.2011, 15:06
Сообщение от: Сарториус
В глюках РЭЙДА виновен ASUS!!! Ваше мнение??? 4 291 Arrexturl16577 09.03.2011, 18:08
Сообщение от: Arrexturl16577
Двухпроцессорный сервак 7 572 Arifurafarm 26.01.2011, 15:50
Сообщение от: boubDruth
Обзоры железа 1 424 Cosinus1024 30.12.2010, 08:07
Сообщение от: singletone
Нужна помощь
Помогите определиться с сервером
1 919 AK-47 24.11.2010, 08:20
Сообщение от: singletone
Арендованый сервер 1 430 ariftinia 24.11.2010, 08:19
Сообщение от: singletone
Server для mailbox 1 473 Aleftinatochca 24.11.2010, 08:18
Сообщение от: singletone
Как увеличить количество дисков в массиве 1 520 actiteprigise 24.11.2010, 08:14
Сообщение от: singletone
Проблема с AMD Phenom II X6 1090T BE. 0 459 AgennaLem 09.11.2010, 14:59
Сообщение от: AgennaLem
FastTrak TX26508 определяется со второго раза, после горячей
перезагрузки
0 366 wertal 19.10.2010, 12:59
Сообщение от: wertal
Прошивка матушки Intel S5000PAL на SR2500 0 469 NightBeast 12.10.2010, 19:50
Сообщение от: NightBeast
Сетевой сниффер
Сетевой сниффер
2 1521 sipitron 26.07.2010, 13:16
Сообщение от: sipitron
Сервер Dell PE2900 Two, за что отвечает частота шины? 2 2576 ariftinia 04.07.2009, 19:41
Сообщение от: HectFoetkeelf
Насчет серверного оборудования. 3 1306 Ортем 26.05.2009, 16:28
Сообщение от: Anstep
RAID Контроллеры 3 2780 Daniel 25.05.2009, 11:04
Сообщение от: Daniel
Помощь владельцам выделенных серверов
Советы, помощь, заметки по администрированию выделенных серв
0 2533 stss 23.01.2008, 15:33
Сообщение от: stss

Последние публикации из рубрики «Полезные советы по работе с компьютером»:

Microsoft Office - Excel

Для того, чтобы проверить грамматику одновременно во всех листах документа или заполнить определённые ячейки всех листов одной и той же информацией, нужно выделить все листы, щёлкнув правой кнопкой мыши по их заголовкам внизу экрана и выбрав соответствующий пункт меню. После группировки листов, что бы вы ни сделали с любой ячейкой на любом листе, — то же самое произойдёт с одноимёнными ячейками всех остальных листов документа (после окончания операций не забудьте разгруппировать листы, просто нажав на заголовок какого-нибудь из них).

Анатолий Ализар

Другие публикации и советы тут >>>


Новости наших друзей:

«Открылась Всемирная Федерация ТКМ !!!»
Начиная с 1972г ВОЗ активно содействует изучению традиционной китайской медицины. Время интереса к ТКМ сменилось периодом ее тщательного исследования. Наша медицина также стремится совершенствоваться в русле этих рекомендаций. На базе корпорации "Ли Вест" открылось первое в России представительство Комитета по образованию Всемирной федерации обществ традиционной китайской медицины WFCMS!..."

Читать далее на http://li-west.ru >>>


Отдохни (анекдоты, забавные истории):

- О, ты была у парикмахера? - замечает супруг.
- Да, классно, не так ли? - оживляется супруга.
- Да, пожалуй! И когда он обещал закончить?...

*****

Две подружки:
- Ну что, свадьба скоро?
- Боюсь, что очень нескоро. Мой жених - человек очень основательный. Сказал, что прежде, чем поженимся, он обязан познакомить меня со всеми своими родственниками. Вчера вот в зоопарк меня водил - знакомить начал с самых дальних...

*****

Мама Вовочки утром говорит мужу:
- Вовочка говорит, что у него болит голова, надо бы позвать врача.
- Да брось ты, он это каждую неделю говорит, чтобы сачкануть.
- Это так, но дело в том, что сегодня воскресенье...

Другие анекдоты тут >>>

Внимание! Если хотите, чтобы мы посвятили рассылку Вам или вашему сайту, то пишите на почту: altvix@mail.ru


Вы можете добавить свою новость, статью или программу по адресу (необходимо зарегистрироваться): stss.3dn.ru
По вопросам размещения Ваших статей и информации в наших рассылках - пишите нам: altvix@mail.ru
Вы можете добавлять информацию в наше сообщество: http://my.mail.ru/community/stssru/

Путеводитель по городу Истра и экскурсии в монастырь Новый Иерусалим. Информация здесь >>> >

Подписаться:  


rasmas.info
РАССЫЛОК МАСТЕР