Content Spoofing и «дефэйс» сайтов

Техника подмены содержимого используется при организации атак на клиентскую сторону (Client-side Attacks). Content Spoofing заставляет пользователя поверить, что веб-страницы, которые он видит, сгенерированы веб-сервером, хотя на самом деле они передаются из внешнего источника.

Как организуется атака Content Spoofing

Как известно, некоторые веб-страницы создаются с помощью динамических источников HTML-кода. Например, расположение фрейма (<frame src= «https://otus.ru/file.html»>) можно передавать в параметре URL (https://otus.ru/page?frame_src=https://otus.ru/file.html). Соответственно, злоумышленник может изменить значение параметра с «frame_src» на «frame_src= http://attacker.example/spoof.html». При этом на результирующей странице, в строке адреса вашего веб-браузера, будет отображаться адрес сервера (otus.ru), но в то же самое время на странице вашего браузера будет присутствовать содержимое, загруженное с веб-сервера злоумышленника (attacker.example). И, разумеется, содержимое будет замаскировано под легальный контент.

Ссылку, специально созданную для такой атаки, вам могут прислать по e-mail или через мессенджер, она может быть опубликована на доске объявлений либо открыта в браузере посредством межсайтового выполнения сценариев. Когда атакующий спровоцирует вас на переход по этой ссылке, вы просто подумаете, что просматриваете обычные данные с сервера, в то время как часть этих данных будет сгенерированна хакером. В результате произойдёт «дефэйс» сайта на стороне пользователя, ведь содержимое сервера будет загружено с http://attacker.example.

На практике такие атаки применяются для создания ложных страниц, например, форм ввода пароля. Естественно, они могут принести значительные финансовые потери, если речь идёт о вводе конфиденциальных платёжных данных. Для защиты рекомендуется отказаться от применения фреймов и никогда не передавать в параметрах локальные либо абсолютные пути, к каким бы то ни было файлам.

Если хотите знать больше про безопасность веб-приложений, обратите внимание на соответствующий курс в OTUS. Второй модуль этого курса посвящён безопасности клиентской стороны и включает в себя подробное рассмотрение таких классов уязвимостей, как Content Spoofing, Open Redirect, CSRF, HTML Injection, Cross-Site Scripting.