Ένα νέο και εξελιγμένο κακόβουλο λογισμικό backdoor με την ονομασία “Deadglyph” χρησιμοποιήθηκε σε μια επίθεση κυβερνοκατασκοπείας εναντίον μιας κυβερνητικής υπηρεσίας στη Μέση Ανατολή.
Το κακόβουλο λογισμικό Deadglyph αποδίδεται στην APT Stealth Falcon (ή αλλιώς Project Raven ή FruityArmor), μια κρατικά χρηματοδοτούμενη ομάδα χάκερ από τα Ηνωμένα Αραβικά Εμιράτα (ΗΑΕ).
Η ομάδα hacking είναι γνωστή για τη στοχοποίηση ακτιβιστών, δημοσιογράφων και αντιφρονούντων εδώ και σχεδόν μια δεκαετία.
Σε μια νέα έκθεση που δημοσιεύθηκε στο συνέδριο κυβερνοασφάλειας LABScon, ο ερευνητής της ESET Filip Jurčacko μοιράζεται ανάλυση του νέου αρθρωτού κακόβουλου λογισμικού και του τρόπου με τον οποίο μολύνει συσκευές Windows.
Επιθέσεις Deadglyph
Η ESET δεν έχει εικόνα για τα μέσα της αρχικής μόλυνσης, αλλά υπάρχει η υποψία ότι χρησιμοποιείται ένα κακόβουλο εκτελέσιμο αρχείο, πιθανώς ένα πρόγραμμα εγκατάστασης.
Ωστόσο, η ESET απέκτησε τα περισσότερα από τα συστατικά της αλυσίδας μόλυνσης για να σχηματίσει μια εικόνα του τρόπου με τον οποίο το κακόβουλο λογισμικό λειτουργεί και προσπαθεί να αποφύγει την ανίχνευση.
Η αλυσίδα φόρτωσης του Deadglyph ξεκινά με έναν φορτωτή shellcode του μητρώου (DLL) που εξάγει κώδικα από το μητρώο των Windows για να φορτώσει το συστατικό Executor (x64), το οποίο με τη σειρά του φορτώνει το συστατικό Orchestrator (.NET).
Μόνο το αρχικό συστατικό υπάρχει στο δίσκο του μολυσμένου συστήματος ως αρχείο DLL, ελαχιστοποιώντας την πιθανότητα εντοπισμού.
Η ESET αναφέρει ότι ο φορτωτής θα φορτώσει τον shellcode από το μητρώο των Windows, το οποίο είναι κρυπτογραφημένο για να κάνει την ανάλυση πιο δύσκολη.
Καθώς το συστατικό DLL αποθηκεύεται στο σύστημα αρχείων, είναι πιο πιθανό να εντοπιστεί. Εξαιτίας αυτού, οι απειλητικοί φορείς χρησιμοποίησαν μια ομογλυφική επίθεση στον πόρο VERSIONINFO χρησιμοποιώντας διακριτούς ελληνικούς και κυριλλικούς χαρακτήρες Unicode για να μιμηθούν τις πληροφορίες της Microsoft και να εμφανιστούν ως νόμιμο αρχείο των Windows.
Το στοιχείο Executor φορτώνει κρυπτογραφημένες με AES διαμορφώσεις για την κερκόπορτα, αρχικοποιεί το .NET runtime στο σύστημα, φορτώνει το .NET τμήμα της κερκόπορτας και ενεργεί ως βιβλιοθήκη της.
Τέλος, το Orchestrator είναι υπεύθυνο για τις επικοινωνίες του διακομιστή εντολών και ελέγχου (C2), χρησιμοποιώντας δύο ενότητες για την εργασία αυτή, το ‘Timer’ και το ‘Network’.
Εάν η κερκόπορτα δεν καταφέρει να δημιουργήσει επικοινωνία με τον διακομιστή C2 μετά από ένα καθορισμένο χρονικό διάστημα, ενεργοποιεί έναν μηχανισμό αυτοαφαίρεσης για να αποτρέψει την ανάλυσή της από ερευνητές και ειδικούς σε θέματα κυβερνοασφάλειας.
Αρθρωτό κακόβουλο λογισμικό
Το κακόβουλο λογισμικό Deadglyph είναι αρθρωτό, δηλαδή θα κατεβάζει νέες ενότητες από το C2 που περιέχουν διαφορετικούς κωδικούς κελύφους για να εκτελεστούν από το στοιχείο Executor.
Η χρήση μιας σπονδυλωτής προσέγγισης επιτρέπει στους φορείς απειλών να δημιουργούν νέες ενότητες ανάλογα με τις ανάγκες για να προσαρμόζουν τις επιθέσεις, οι οποίες μπορούν στη συνέχεια να προωθηθούν στα θύματα για να εκτελέσουν πρόσθετες κακόβουλες λειτουργίες.
Αυτές οι ενότητες έχουν στη διάθεσή τους τα Windows και τα προσαρμοσμένα API του Executor, με το τελευταίο να προσφέρει 39 λειτουργίες που καθιστούν δυνατή την εκτέλεση λειτουργιών αρχείων, τη φόρτωση εκτελέσιμων αρχείων, την πρόσβαση σε Token Impersonation και την εκτέλεση κρυπτογράφησης και κατακερματισμού.
Η ESET πιστεύει ότι υπάρχουν εννέα έως δεκατέσσερις διαφορετικές ενότητες, αλλά μπόρεσε να αποκτήσει μόνο τρεις: έναν δημιουργό διεργασιών, έναν συλλέκτη πληροφοριών και έναν αναγνώστη αρχείων.
Ο συλλέκτης πληροφοριών χρησιμοποιεί ερωτήματα WMI για να τροφοδοτήσει τον Orchestrator με τις ακόλουθες πληροφορίες σχετικά με το παραβιασμένο σύστημα:
operating system
network adapters
installed software
drives
services
drivers
processes
users
environment variables
security software
Ο δημιουργός διεργασιών είναι ένα εργαλείο εκτέλεσης εντολών που εκτελεί καθορισμένες εντολές ως νέα διεργασία και δίνει το αποτέλεσμα στον Orchestrator.
Η μονάδα ανάγνωσης αρχείων διαβάζει το περιεχόμενο των αρχείων και το παραδίδει στον Orchestrator, ενώ δίνει επίσης στους χειριστές τη δυνατότητα να διαγράψουν το αρχείο μετά την ανάγνωση.
Παρόλο που η ESET κατάφερε να αποκαλύψει μόνο ένα μέρος των δυνατοτήτων του κακόβουλου λογισμικού, είναι σαφές ότι το Deadglyph του Stealth Falcon είναι μια τρομερή απειλή.
Χωρίς λεπτομερείς πληροφορίες σχετικά με την αρχική μόλυνση, η προσφορά συγκεκριμένων στρατηγικών άμυνας κατά του κακόβουλου λογισμικού είναι αδύνατη.
Προς το παρόν, οι αμυντικοί μπορούν να βασίζονται στις υπάρχουσες IoC που δημοσιεύονται στην έκθεση.
EnCase: Η Κλειδαριά για την Ψηφιακή Ερευνητική Επιστήμη
Η Ψηφιακή Ερευνητική Επιστήμη (Digital Forensics) αποτελεί έναν ζωτικό κλάδο της τεχνολογίας που αφορά τη συλλογή, την ανάλυση και την παρουσίαση ηλεκτρονικών αποδεικτικών στοιχείων σε δικαστικές διαδικασίες και ανακρίσεις. Σε αυτόν τον σύνθετο και αναπτυσσόμενο τομέα, το εργαλείο EnCase έχει κερδίσει τη φήμη του ως ένα από τα πλέον ισχυρά και πλήρως εξειδικευμένα λογισμικά ψηφιακής ερευνητικής.
Τι είναι το EnCase:
Το EnCase είναι ένα λογισμικό ψηφιακής ερευνητικής που αναπτύχθηκε από την Guidance Software (τώρα OpenText) και αποτελεί ένα ολοκληρωμένο σύστημα για την ανάλυση και την εξαγωγή στοιχείων από ηλεκτρονικές συσκευές και αποθηκευτικούς χώρους. Στην πορεία, το EnCase εξελίχθηκε σε μια σουίτα λογισμικού που παρέχει εργαλεία για την ανάλυση ψηφιακών στοιχείων από υπολογιστές, κινητά τηλέφωνα, συσκευές αποθήκευσης και πολλά άλλα.
Πώς χρησιμοποιείται το EnCase:
Συλλογή Δεδομένων: Το EnCase χρησιμοποιείται για τη συλλογή ψηφιακών στοιχείων από συσκευές και αποθηκευτικούς χώρους. Αυτή η διαδικασία περιλαμβάνει τον ακριβή αντίγραφο του περιεχομένου των συσκευών, διασφαλίζοντας τη διατήρηση της ακεραιότητας των δεδομένων.
Ανάλυση Δεδομένων: Με το EnCase, οι ερευνητές μπορούν να αναλύσουν τα ψηφιακά στοιχεία που συλλέχθηκαν. Αυτό περιλαμβάνει την ανάκτηση διαγενεαλογικών αποδείξεων, όπως καταγραφές κλήσεων, μηνύματα, φωτογραφίες, αρχεία και πολλά άλλα.
Αναφορές και Παρουσιάσεις: Το EnCase διαθέτει εργαλεία που επιτρέπουν στους χρήστες να δημιουργήσουν εκθέσεις και παρουσιάσεις για τα αποδεικτικά στοιχεία που βρέθηκαν. Αυτές οι αναφορές είναι σημαντικές για να υποστηρίξουν τις δικαστικές διαδικασίες.
Διατήρηση ακεραιότητας: Το EnCase είναι γνωστό για την τήρηση ακεραιότητας των δεδομένων κατά την εξέταση. Αυτό είναι κρίσιμο σε δικαστικές διαδικασίες, καθώς τα αποδεικτικά στοιχεία πρέπει να είναι αναλλοίωτα.
Διαχείριση Αλυσίδων Εντολών: Το EnCase διαθέτει μια εντυπωσιακή λειτουργία για τη διαχείριση αλυσίδων εντολών, που επιτρέπει την αυτοματοποίηση διαδικασιών και τη δημιουργία προσαρμοσμένων εργαλείων.
Συνοψίζοντας, το εργαλείο EnCase είναι ένα αναπόσπαστο κομμάτι της ψηφιακής ερευνητικής επιστήμης και της δικαστικής έρευνας. Οι ερευνητές, οι εκπαιδευτικοί και οι επαγγελματίες ασφαλείας βασίζονται στο EnCase για την αξιόπιστη συλλογή, ανάλυση και παρουσίαση ψηφιακών αποδεικτικών στοιχείων, βοηθώντας έτσι στη διασφάλιση της δικαιοσύνης και της ασφάλειας στον ψηφιακό κόσμο.
Πως λειτουργεί μια επίθεση DDos και τρόποι προστασίας
Οι επιθέσεις DDoS (Distributed Denial of Service) λειτουργούν καταφέρνοντας να υπερφορτώσουν έναν στόχο με κίνηση από πολλούς υπολογιστές ή συσκευές, καθιστώντας τον μη διαθέσιμο για τους νόμιμους χρήστες. Ακολουθούν τα βασικά στάδια του πώς λειτουργεί μια επίθεση DDoS:
Επιλογή του Στόχου: Ο επιτιθέμενος επιλέγει μια ιστοσελίδα, έναν διακομιστή ή μια υπηρεσία ως στόχο για την επίθεση DDoS.
Δημιουργία Botnet Δικτύου (Botnet): Ο επιτιθέμενος συγκεντρώνει ένα μεγάλο αριθμό υπολογιστών ή συσκευών που είναι μολυσμένα από κακόβουλο λογισμικό (malware) και έχουν μετατραπεί σε bot. Αυτά τα μέλη του botnet μπορούν να ελεγχθούν από τον επιτιθέμενο.
Εκτέλεση της Επίθεσης: Ο επιτιθέμενος εκτελεί την επίθεση ενεργοποιώντας τους υπολογιστές στο botnet να στείλουν μεγάλο όγκο αιτημάτων στον στόχο (συνήθως στον διακομιστή του στόχου).
Υπερφόρτωση του Διακομιστή Στόχου: Ο διακομιστής στόχος αντιμετωπίζει τον υπερβολικό όγκο κίνησης από το botnet. Οι αιτήσεις από το botnet συχνά είναι ανώνυμες ή περιέχουν πλαστικά δεδομένα, καθιστώντας δύσκολο τον διαχωρισμό μεταξύ νόμιμων και κακόβουλων αιτημάτων.
Αποτυχία της Διαθεσιμότητας: Η διακίνηση των κακόβουλων αιτημάτων καταφέρνει να υπερφορτώσει τον διακομιστή στόχο, καθιστώντας τον μη διαθέσιμο για τους νόμιμους χρήστες. Αυτό είναι γνωστό ως “αποκοπή της υπηρεσίας” (Denial of Service) και συνήθως είναι το αποτέλεσμα της επίθεσης DDoS.
Οι επιθέσεις DDoS μπορούν να έχουν σοβαρές συνέπειες για τους στόχους τους, όπως διακοπή της λειτουργίας της ιστοσελίδας ή της υπηρεσίας, απώλεια επιχειρηματικής δραστηριότητας και οικονομικές απώλειες. Για αυτόν τον λόγο, οι ιδιοκτήτες ιστοσελίδων και οι διαχειριστές δικτύου πρέπει να λάβουν μέτρα προστασίας, όπως τη χρήση WAFs, CDNs, και λοιπών ασφαλιστικών πρακτικών για την αντιμετώπιση των επιθέσεων DDoS.
Η προστασία από επιθέσεις DDoS (Distributed Denial of Service) είναι σημαντική για τη διατήρηση της διαθεσιμότητας της ιστοσελίδας σας και την προστασία της από υπερφορτώσεις του δικτύου. Εδώ είναι μερικά βασικά μέτρα για την προστασία από DDoS:
Χρησιμοποιήστε Content Delivery Network (CDN): Η χρήση ενός CDN μπορεί να βοηθήσει στην κατανομή του φόρτου των επιθέσεων DDoS σε διάφορες τοποθεσίες, μειώνοντας τον αντίκτυπο στον κύριο διακομιστή σας.
Χρησιμοποιήστε Φιλτρά και Εισόδους Web Application Firewall (WAF): Ένα WAF μπορεί να ανιχνεύσει και να αποτρέψει επιθέσεις DDoS. Συνδυάζοντας το με φιλτρά ανάλυσης κίνησης, μπορείτε να αντιμετωπίσετε τις επιθέσεις πριν φτάσουν στον διακομιστή σας.
Παρακολούθηση της Κίνησης Δικτύου: Χρησιμοποιήστε λύσεις παρακολούθησης της κίνησης του δικτύου για να ανιχνεύετε ασυνήθιστη δραστηριότητα που ενδεχομένως να υποδηλώνει DDoS επιθέσεις.
Αντιμετώπιση της Εξελισσόμενης Κίνησης: Ορίστε μηχανισμούς αυτόματης επέκτασης της υποδομής σας για να αντιμετωπίζετε αυξημένη κίνηση κατά την επίδειξη επιθέσεων DDoS.
Απενεργοποίηση Pingbacks και Trackbacks: Στο WordPress, απενεργοποιήστε τις λειτουργίες Pingbacks και Trackbacks, καθώς μπορούν να χρησιμοποιηθούν για επιθέσεις επικάλυψης DDoS.
Χρησιμοποιήστε Υπηρεσίες Ασφαλείας DDoS: Υπάρχουν πολλές εταιρείες που προσφέρουν υπηρεσίες προστασίας DDoS. Αυτές οι υπηρεσίες μπορούν να αναλάβουν την προστασία της ιστοσελίδας σας και να διαχειριστούν την κίνηση DDoS για εσάς.
Σχεδιασμός για Κλιμάκωση: Σχεδιάστε την υποδομή σας και τον κωδικά της ιστοσελίδας σας με τη δυνατότητα κλιμάκωσης, έτσι ώστε να μπορεί να αντιμετωπίσει αυξημένη κίνηση κατά τις επιθέσεις DDoS χωρίς να αποτύχει.
Εφαρμογή Rate Limiting: Εφαρμόστε περιορισμούς στον αριθμό των αιτήσεων που μπορούν να γίνουν από μια διεύθυνση IP σε σύντομο χρονικό διάστημα.
Εφαρμόστε περιορισμούς: Εάν γνωρίζετε τη γεωγραφική περιοχή από την οποία προέρχονται συχνά οι επιθέσεις, μπορείτε να εφαρμόσετε περιορισμούς που θα αποκλείουν την κίνηση από αυτές τις χώρες.
CloudFlare και προστασία απο επιθέσεις DDos
Η Cloudflare παρέχει εξειδικευμένα εργαλεία και υπηρεσίες για την προστασία από DDoS επιθέσεις. Εδώ είναι μερικά από τα βήματα που μπορείτε να ακολουθήσετε για να ενισχύσετε την προστασία σας χρησιμοποιώντας την υπηρεσία Cloudflare:
Ενεργοποίηση του DDoS Protection: Βεβαιωθείτε ότι έχετε ενεργοποιήσει την προστασία DDoS από τον λογαριασμό Cloudflare σας. Αυτό περιλαμβάνει την προστασία από επιθέσεις (Layer 3/4) και επιθέσεις εφαρμογής (Layer 7).
Διαμορφώστε τους κανόνες ασφαλείας: Στον πίνακα ελέγχου της Cloudflare, μπορείτε να διαμορφώσετε κανόνες ασφαλείας για να ανιχνεύουν και να φιλτράρουν κίνηση που φαίνεται ύποπτη ή από επιθετικές διευθύνσεις IP.
Χρησιμοποιήστε τη λειτουργία “I’m Under Attack”: Η Cloudflare έχει μια επιλογή που λέγεται “I’m Under Attack,” η οποία ενεργοποιεί επιπρόσθετα μέτρα προστασίας κατά των DDoS επιθέσεων. Μπορείτε να τη χρησιμοποιήσετε όταν παρατηρείτε υπερβολική κίνηση.
Καταγραφή και ανάλυση: Ενεργοποιήστε την καταγραφή γεγονότων και ανάλυση κίνησης στο Cloudflare για να παρακολουθείτε την εισερχόμενη κίνηση και να ανιχνεύετε επιθέσεις.
Χρησιμοποιήστε την WAF της Cloudflare: Η Web Application Firewall (WAF) της Cloudflare μπορεί να ανιχνεύει και να προστατεύει την εφαρμογή σας από επιθέσεις εφαρμογής. Ρυθμίστε την WAF σύμφωνα με τις ανάγκες σας.
Χρησιμοποιήστε Rate Limiting: Η υπηρεσία Rate Limiting της Cloudflare μπορεί να περιορίσει τον αριθμό των αιτημάτων από μια διεύθυνση IP σε ένα συγκεκριμένο χρονικό διάστημα, βοηθώντας έτσι στην αντιμετώπιση επιθέσεων που βασίζονται στον όγκο.
Συνεχής ενημέρωση και παρακολούθηση: Παρακολουθείτε συνεχώς τις αναφορές ασφαλείας της Cloudflare και ενημερώνετε τις ρυθμίσεις ασφαλείας σας ανάλογα με τις νέες απειλές.
Το XSS (Cross-Site Scripting) είναι μια επίθεση κατά της ασφάλειας των ιστοσελίδων, κατά την οποία ο επιτιθέμενος ενσωματώνει κακόβουλο κώδικα (συνήθως JavaScript) σε μια ιστοσελίδα που ανοίγει σε έναν web browser. Ο κακόβουλος κώδικας εκτελείται στον browser του θύματος, όχι στον διακομιστή, και μπορεί να έχει πολλές επιπτώσεις, συμπεριλαμβανομένης της κλοπής δεδομένων χρηστών, όπως cookies ή συνόδους, την αλλοίωση του περιεχομένου της ιστοσελίδας ή την εκτέλεση επιπλέον επιθέσεων σε βάρος των χρηστών.
Οι βασικές μορφές του XSS περιλαμβάνουν:
Stored XSS (Αποθηκευμένο XSS): Όπου ο κακόβουλος κώδικας αποθηκεύεται στη βάση δεδομένων ή σε ένα αρχείο, και εκτελείται κάθε φορά που ο χρήστης ζητάει να δει τη σελίδα.
Reflected XSS (Ανακλιμένο XSS): Όπου ο κακόβουλος κώδικας περνά από τον browser του θύματος μέσω μιας επικίνδυνης URL ή ενός παραμέτρου σε μια σελίδα.
DOM-based XSS (DOM XSS): Όπου ο κακόβουλος κώδικας τροποποιεί το Document Object Model (DOM) στον browser του θύματος, και η επίθεση εκτελείται κατά την προβολή της σελίδας.
Blind XSS: Όπου ο κακόβουλος κώδικας εκτελείται χωρίς να αφήνει άμεσα αντίδραση στον browser του θύματος. Ο επιτιθέμενος δεν βλέπει την έξοδο, αλλά μπορεί να συλλέγει δεδομένα.
Non-persistent XSS: Όπου ο κακόβουλος κώδικας δεν αποθηκεύεται, αλλά παραδίδεται στο θύμα μέσω κακόβουλων συνδέσμων ή μηνυμάτων. Εκτελείται κατά την προβολή της σελίδας.
Το Cross-Site Scripting (XSS) λειτουργεί με τον εξής τρόπο:
Ενσωμάτωση κακόβουλου κώδικα: Ο επιτιθέμενος ενσωματώνει κακόβουλο κώδικα (συνήθως JavaScript) σε μια ιστοσελίδα, συχνά μέσω εισόδων χρήστη όπως φόρμες, παραμέτρους URL ή σχόλια.
Αποστολή της σελίδας προς το θύμα: Η τροποποιημένη σελίδα στέλνεται στο θύμα, συχνά μέσω κακόβουλων συνδέσμων ή ηλεκτρονικών μηνυμάτων.
Εκτέλεση του κακόβουλου κώδικα: Ο κακόβουλος κώδικας εκτελείται στον web browser του θύματος κατά την προβολή της τροποποιημένης σελίδας. Αυτό συμβαίνει επειδή ο browser εκτελεί όλο τον JavaScript που βρίσκεται στο περιεχόμενο της σελίδας.
Κλοπή δεδομένων ή επιθέσεις: Ο κακόβουλος κώδικας μπορεί να προκαλέσει πολλά διαφορετικά προβλήματα, όπως την κλοπή των cookies σύνδεσης του χρήστη, την αποστολή αιτημάτων εξ’ αποστάσεως εξ ονόματος του χρήστη, την αλλοίωση του περιεχομένου της σελίδας, την απόκτηση προσωπικών πληροφοριών, και πολλά άλλα.
Ο κίνδυνος με το XSS είναι ότι ο κακόβουλος κώδικας εκτελείται με τα δικαιώματα του χρήστη στον browser του, και αυτό μπορεί να έχει επιπτώσεις σε προσωπικά δεδομένα, ευαίσθητες πληροφορίες και την ασφάλεια της σελίδας.
Υπάρχουν διάφορα εργαλεία που μπορείτε να χρησιμοποιήσετε για την εντοπισμό και τον έλεγχο των ευπαθειών Cross-Site Scripting (XSS) σε ιστοσελίδες και εφαρμογές. Αυτά τα εργαλεία σάρωσης και ελέγχου ασφάλειας μπορούν να σας βοηθήσουν να εντοπίσετε και να αποτρέψετε επιθέσεις XSS. Εδώ είναι μερικά από αυτά:
OWASP Zed Attack Proxy (ZAP): Το OWASP ZAP είναι ένα ανοιχτού κώδικα εργαλείο εξερεύνησης ασφαλείας που προσφέρει ανίχνευση και αντιμετώπιση των ευπαθειών XSS, μεταξύ άλλων.
Burp Suite: Το Burp Suite είναι ένα εργαλείο συναχωσίνωσης και ασφαλείας που μπορεί να χρησιμοποιηθεί για τον έλεγχο της ασφάλειας εφαρμογών, συμπεριλαμβανομένης της ανίχνευσης ευπαθειών XSS.
Vega: Το Vega είναι ένα ανοιχτού κώδικα εργαλείο ασφαλείας που μπορεί να χρησιμοποιηθεί για τον έλεγχο της ασφάλειας των ιστοσελίδων και την ανίχνευση ευπαθειών XSS.
Για παράδειγμα. Αν πάτε στην σελίδα http://testphp.vulnweb.com/ (έχει δημιουργηθεί για να εξασκούνται οι νέοι σε θέματα ασφάλειας ) και αναζητήσετε κάτι παράξενο όπως αδσαδσδσζψσσαδσα θα σας εμφανίσει το παρακάτω μήνυμα
searched for: αδσαδσδσζψσσαδσα
Παρατηρούμε δηλαδή ότι το μήνυμα που πληκτρολογήσαμε εμφανίστηκε στην ιστοσελίδα. Τώρα αν αντικαταστήσουμε αυτό το μήνυμα με κώδικα μπορούμε να πετύχουμε πολύ διαφορετικά αποτελέσματα για παράδειγμα αν γράψουμε
<script>alert("This site is vulnerable to xss")</script>
Τότε θα παρατηρήσουμε ότι ο κώδικας μας εκτελείτε και έτσι μπορούμε να πετύχουμε αποτελέσματα που δεν είχαν προβλεφθεί από τους δημιουργούς του site
Όπως ανέφερα δεν χρησιμοποιείται τόσο για επίθεση στην σελίδα όσο για τους χρήστες που υπάρχουν σε αυτήν.
Πως όμως μπορεί αυτός ο τρόπος να βλάψει τους απλούς χρήστες?
Λοιπόν ο επιτιθέμενος έχει την επιλογή να στείλει το url που περιέχει την ευπάθεια σε άλλους χρήστες που χρησιμοποιούν αυτήν την σελίδα και ο κώδικας θα εκτελεστή στον υπολογιστή τους. Στην σελίδα που κοιτάμε εμείς δεν είναι ορατή η μεταβλητή που περιέχει τα δεδομένα που πληκτρολογήσαμε. Αρά ο επιτιθέμενος σε αυτήν την περίπτωση θα έβλεπε μέσο προγραμμάτων η κώδικα τι μεταβλητές υπάρχουν στο url 🙂
και θα έβρισκε ότι μπορούσε να στείλει κάτι τέτοιο στο θύμα του. (Δεν δουλεύει στην περίπτωση μας)
testphp.vulnweb.com/search.php?test=query&searchFor=<script>alert("this site is vulnerable to xss")</script>
Αυτό όμως φαίνεται ότι είναι πειραγμένο και ο χρήστης θα μπορούσε να το καταλάβει εύκολα. Αν όμως το κωδικοποιούσαμε ? ο χρήστης θα έβλεπε κάτι τέτοιο στο facebook/skype κλπ
testphp.vulnweb.com/search.php?test=query&searchFor=<script>alert("Test")</script></script>
Δεν θα έμπαινε στον κόπο να το αποκρυπτογραφήσει και απλά θα το άνοιγε για να δει τη είναι.
Ένας άλλος τρόπος είναι να βρει ευπάθεια σε πράγματα που μένουν για πάντα στο site. πχ σε ένα φόρουμ. Θα μπορούσε να κάνει xss σε κάποιο ποστ και έτσι θα έπεφταν στην παγίδα όλοι όσοι άνοιγαν το θέμα για να το δουν.
Φυσικά δεν θα ήταν τέτοιες εντολές. Η γλώσσα η οποία χρησιμοποιήσαμε λέγετε javascript… Ένας από τους λόγους είναι πως η γλώσσα είναι πιο πλούσια από την html και δίνει την δυνατότητα στον επιτιθέμενο να κλέψει τα cookies και να τα εκμεταλλευτή για να βρει τον κωδικό κάποιου χρήστη