Content Spoofing и «дефэйс» сайтов | OTUS
🔥 Начинаем BLACK FRIDAY!
Максимальная скидка -25% на всё. Успейте начать обучение по самой выгодной цене.
Выбрать курс

Курсы

Программирование
iOS Developer. Basic
-25%
Python Developer. Professional
-25%
Разработчик на Spring Framework
-25%
Golang Developer. Professional
-25%
Python Developer. Basic
-25%
iOS Developer. Professional
-25%
Highload Architect
-25%
JavaScript Developer. Basic
-25%
Kotlin Backend Developer
-25%
JavaScript Developer. Professional
-25%
Android Developer. Basic
-25%
Unity Game Developer. Basic
-25%
Разработчик C#
-25%
Программист С Web-разработчик на Python Алгоритмы и структуры данных Framework Laravel PostgreSQL Reverse-Engineering. Professional CI/CD Vue.js разработчик VOIP инженер Программист 1С Flutter Mobile Developer Супер - интенсив по Kubernetes Symfony Framework Advanced Fullstack JavaScript developer Супер-интенсив "Azure для разработчиков"
Инфраструктура
Мониторинг и логирование: Zabbix, Prometheus, ELK
-25%
DevOps практики и инструменты
-25%
Архитектор сетей
-25%
Инфраструктурная платформа на основе Kubernetes
-25%
Супер-интенсив «ELK»
-16%
Супер-интенсив «IaC Ansible»
-16%
Супер-интенсив "SQL для анализа данных"
-16%
Базы данных Сетевой инженер AWS для разработчиков Cloud Solution Architecture Разработчик голосовых ассистентов и чат-ботов Внедрение и работа в DevSecOps Администратор Linux. Виртуализация и кластеризация Нереляционные базы данных Супер-практикум по использованию и настройке GIT IoT-разработчик Супер-интенсив «СУБД в высоконагруженных системах»
Специализации Курсы в разработке Подготовительные курсы
+7 499 938-92-02

Content Spoofing и «дефэйс» сайтов

Техника подмены содержимого используется при организации атак на клиентскую сторону (Client-side Attacks). Content Spoofing заставляет пользователя поверить, что веб-страницы, которые он видит, сгенерированы веб-сервером, хотя на самом деле они передаются из внешнего источника.

Как организуется атака Content Spoofing

Как известно, некоторые веб-страницы создаются с помощью динамических источников HTML-кода. Например, расположение фрейма (<frame src= «https://otus.ru/file.html»>) можно передавать в параметре URL (https://otus.ru/page?frame_src=https://otus.ru/file.html). Соответственно, злоумышленник может изменить значение параметра с «frame_src» на «frame_src= http://attacker.example/spoof.html». При этом на результирующей странице, в строке адреса вашего веб-браузера, будет отображаться адрес сервера (otus.ru), но в то же самое время на странице вашего браузера будет присутствовать содержимое, загруженное с веб-сервера злоумышленника (attacker.example). И, разумеется, содержимое будет замаскировано под легальный контент.

Ссылку, специально созданную для такой атаки, вам могут прислать по e-mail или через мессенджер, она может быть опубликована на доске объявлений либо открыта в браузере посредством межсайтового выполнения сценариев. Когда атакующий спровоцирует вас на переход по этой ссылке, вы просто подумаете, что просматриваете обычные данные с сервера, в то время как часть этих данных будет сгенерированна хакером. В результате произойдёт «дефэйс» сайта на стороне пользователя, ведь содержимое сервера будет загружено с http://attacker.example.

На практике такие атаки применяются для создания ложных страниц, например, форм ввода пароля. Естественно, они могут принести значительные финансовые потери, если речь идёт о вводе конфиденциальных платёжных данных. Для защиты рекомендуется отказаться от применения фреймов и никогда не передавать в параметрах локальные либо абсолютные пути, к каким бы то ни было файлам.

Если хотите знать больше про безопасность веб-приложений, обратите внимание на соответствующий курс в OTUS. Второй модуль этого курса посвящён безопасности клиентской стороны и включает в себя подробное рассмотрение таких классов уязвимостей, как Content Spoofing, Open Redirect, CSRF, HTML Injection, Cross-Site Scripting.

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться
🎁 Максимальная скидка!
Черная пятница уже в OTUS! Скидка -25% на всё!