Content Spoofing и «дефэйс» сайтов | OTUS
⚡ Подписка на курсы OTUS!
Интенсивная прокачка навыков для IT-специалистов!
Подробнее

Курсы

Программирование
Алгоритмы и структуры данных Team Lead Архитектура и шаблоны проектирования Разработчик IoT C# Developer. Professional PostgreSQL Разработчик на Spring Framework
-5%
Flutter Mobile Developer NoSQL iOS Developer. Basic
-10%
C++ Developer. Basic C++ Developer. Professional Android Developer. Professional Microservice Architecture Unity Game Developer. Professional Базы данных Node.js Developer React.js Developer Специализация Java-разработчик
-25%
Web-разработчик на Python Framework Laravel Cloud Solution Architecture Vue.js разработчик Интенсив «Оптимизация в Java» Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Супер-интенсив "Tarantool" PHP Developer. Basic
Инфраструктура
Мониторинг и логирование: Zabbix, Prometheus, ELK Administrator Linux. Professional Дизайн сетей ЦОД Разработчик IoT PostgreSQL Экспресс-курс "Версионирование и командная работа с помощью Git"
-30%
Microservice Architecture Highload Architect Специализация Administrator Linux
-25%
Network engineer Cloud Solution Architecture Внедрение и работа в DevSecOps Супер-практикум по работе с протоколом BGP Супер - интенсив по паттернам проектирования Супер - интенсив по Kubernetes Супер-интенсив «СУБД в высоконагруженных системах» Супер-интенсив "Tarantool" Network engineer. Basic
Корпоративные курсы
Безопасность веб-приложений IT-Recruiter Дизайн сетей ЦОД Компьютерное зрение Разработчик IoT Вебинар CERTIPORT Machine Learning. Professional
-6%
NoSQL Пентест. Практика тестирования на проникновение Java QA Engineer. Базовый курс Руководитель поддержки пользователей в IT
-8%
SRE практики и инструменты Cloud Solution Architecture Внедрение и работа в DevSecOps Супер-практикум по работе с протоколом BGP Infrastructure as a code Супер-практикум по использованию и настройке GIT Промышленный ML на больших данных Экспресс-курс «CI/CD или Непрерывная поставка с Docker и Kubernetes» BPMN: Моделирование бизнес-процессов Основы Windows Server
Специализации Курсы в разработке Подготовительные курсы Подписка
+7 499 938-92-02

Content Spoofing и «дефэйс» сайтов

Техника подмены содержимого используется при организации атак на клиентскую сторону (Client-side Attacks). Content Spoofing заставляет пользователя поверить, что веб-страницы, которые он видит, сгенерированы веб-сервером, хотя на самом деле они передаются из внешнего источника.

Как организуется атака Content Spoofing

Как известно, некоторые веб-страницы создаются с помощью динамических источников HTML-кода. Например, расположение фрейма (<frame src= «https://otus.ru/file.html»>) можно передавать в параметре URL (https://otus.ru/page?frame_src=https://otus.ru/file.html). Соответственно, злоумышленник может изменить значение параметра с «frame_src» на «frame_src= http://attacker.example/spoof.html». При этом на результирующей странице, в строке адреса вашего веб-браузера, будет отображаться адрес сервера (otus.ru), но в то же самое время на странице вашего браузера будет присутствовать содержимое, загруженное с веб-сервера злоумышленника (attacker.example). И, разумеется, содержимое будет замаскировано под легальный контент.

Ссылку, специально созданную для такой атаки, вам могут прислать по e-mail или через мессенджер, она может быть опубликована на доске объявлений либо открыта в браузере посредством межсайтового выполнения сценариев. Когда атакующий спровоцирует вас на переход по этой ссылке, вы просто подумаете, что просматриваете обычные данные с сервера, в то время как часть этих данных будет сгенерированна хакером. В результате произойдёт «дефэйс» сайта на стороне пользователя, ведь содержимое сервера будет загружено с http://attacker.example.

На практике такие атаки применяются для создания ложных страниц, например, форм ввода пароля. Естественно, они могут принести значительные финансовые потери, если речь идёт о вводе конфиденциальных платёжных данных. Для защиты рекомендуется отказаться от применения фреймов и никогда не передавать в параметрах локальные либо абсолютные пути, к каким бы то ни было файлам.

Если хотите знать больше про безопасность веб-приложений, обратите внимание на соответствующий курс в OTUS. Второй модуль этого курса посвящён безопасности клиентской стороны и включает в себя подробное рассмотрение таких классов уязвимостей, как Content Spoofing, Open Redirect, CSRF, HTML Injection, Cross-Site Scripting.

Не пропустите новые полезные статьи!

Спасибо за подписку!

Мы отправили вам письмо для подтверждения вашего email.
С уважением, OTUS!

Автор
0 комментариев
Для комментирования необходимо авторизоваться