Внешние скрипты с доступом к вашим кредиткам и личному кабинету

[ Версия для печати ]
Добавить в Telegram Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
Страницы: (5) [1] 2 3 ... Последняя »  К последнему непрочитанному [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
Goldfray
28.09.2017 - 17:14
Статус: Offline


Космонавт

Регистрация: 3.11.11
Сообщений: 1075
231
Скажите, как бы вы отнеслись к тому, чтобы продавцы давали возможность собрать атрибуты ваших карточек, включая номер, фамилию и CVC, какому-то постороннему лицу еще в момент оплаты, а также, без пароля, пускали посмотреть, что вы делаете в личном кабинете какого-то сервиса, кому и сколько платите, например. Сколько у вас телефонов и как вы ими пользуетесь. Т.е. вы входите под паролем, подтверждаете право владения по SMS, зашли, а там народ толпится, кто зашел просто посмотреть. Бред? Тем не менее, так делают многие сервисы. Кем бы вы себя ощущали, если бы в комнате для вскрытия банковских ячеек обнаружили камеру наблюдения? Но, не будем снова о банках, давайте обо всем последовательно.

Заранее прошу прощения у тех, кому объяснения покажутся слишком разжевывающими, несмотря на аудиторию, в прошлый раз многие вообще не поняли, о чем идет речь.


Внешние скрипты с доступом к вашим кредиткам и личному кабинету
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
Goldfray
28.09.2017 - 17:15
Статус: Offline


Космонавт

Регистрация: 3.11.11
Сообщений: 1075
Большинство вебмастеров игнорируют тот факт, что страницы с чувствительной информацией должны быть статичными по содержимому кода. Чем отличается от обычной программы вирус? Тем, что на компьютере появляется программа, написанная непонятно кем, потребляет ресурсы и выполняет непонятно какие действия в целях их авторов (позвольте вольное определение для пользы объяснения). И вот берем страницу, например, личного кабинета Билайн.

Внешние скрипты с доступом к вашим кредиткам и личному кабинету
 
[^]
Goldfray
28.09.2017 - 17:15
Статус: Offline


Космонавт

Регистрация: 3.11.11
Сообщений: 1075
Помимо штатного адреса Билайна, мы видим, что в странице присутствуют адреса, которые к нему не относятся. Т.е. есть код, который написали работники Билайна и есть код, который грузится с каких-то других серверов, написанный другими людьми, причем, код этот вообще никак сотрудниками Билайна не контролируется, поскольку загружается не через Билайн, а по тем адресам, которые вы видите. Раз не контролируется, то и какие действия он выполняет, тоже не понятно.

Вот, пожалуйста, небольшое видео по тому, что можно творить внешними скриптами в личном кабинете

 
[^]
Goldfray
28.09.2017 - 17:16
Статус: Offline


Космонавт

Регистрация: 3.11.11
Сообщений: 1075
Переходим к следущему тому, что обещал в заголовке.

Проходя мимо сайта оплаты МТС, случайно обнаружил протесты баннерорезки. К счастью, скриптов не очень много. Но популярная гуглоаналитика там есть. Прямо вот на страничке, где вы вводите номера карточек и CVV.

Небольшое поясняющее видео:



Опишу происходящее на видео, если кто-то не может его посмотреть. Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои. Это не взлом и целью выставить обнаруженное уязвимостью нет, хотя некоторая вероятность такого тоже существует. Своими скриптами я благополучно собрал вводимые самим собой тестовые произвольные номера кредиток и отправил себе на сервер. Для демонстрации возможностей скрипта я еще и сумму оплаты поменял.

Извините, повторюсь, есть некоторая компания (перечисленные выше, как и многие другие, не суть название). Они пишут сайт, в который закладывают секретности и какой-то функционал, где (я верю в это) личные данные никто править не должен и они наружу никуда не утекают. Для того, чтобы собирать статистику по своим пользователям, они ленятся и пользуются чужими скриптами. Т.е. браузерам пользователей они в своем сайте дают команду — зайдите на другой сервер и возьмите там скрипт для статистики. Какой этот скрипт в данный момент времени знают только владельцы другого сервера. Что он делает, владельцы сайта не могут знать. Более того, браузерам пользователя в некоторых случаях можно сказать, чтобы скрипты брались откуда-то еще и тогда количество тех, кто может их поменять, резко возрастает. Владельцы же серверов статистики и прочих вставок вообще без проблем могут собирать все, до чего дотянутся. Куда им захочется дотянуться, тоже уверен, владельцы основных сайтов вообще не представляют.

Это сообщение отредактировал Goldfray - 28.09.2017 - 17:19
 
[^]
Goldfray
28.09.2017 - 17:18
Статус: Offline


Космонавт

Регистрация: 3.11.11
Сообщений: 1075
Верить в честность компании, предоставляющей аналитику, не приходится. Однако, работают в ней люди. А люди иногда нарушают закон. И хоть компания потом будет выводить за баню и расстреливать сотрудников-нарушителей, будет ли лично вам от этого легче? Сможет ли это компенсировать потери? Я принципиально не понимаю, зачем давать лишнюю возможность получить доступ к таким данным? Если кто-то очень надеется на SMS, рекомендую почитать вот эту статью и вспомнить недавнюю историю с тем, как недобросовестные работники одного из салонов дублировали симкарты оператора сотовой связи.

Мое письмо в МТС:

Добрый день, уточните, пожалуйста, зачем используются сторонние скрипты, в том числе иностранные, на страницах сайта МТС? Это же может быть угрозой сохранности информации, передаваемой между вашей компанией и пользователем.

И полученная такая вот отписка

Здравствуйте, Олег Андреевич.

Сохранность информации защищена законодательством РФ.
С уважением,
**** ******
ПАО «МТС»


И смех, и грех. Не хочу, чтобы сотрудника сделали козлом отпущения, что произошло мне вполне понятно, потому зазвездил имя. Потом уже снял и отправил видео, которое вы видели выше, после чего было сообщение о том, что оно отправлено в какое-то подразделение по безопасности и дальнейших сообщений я уже не получил никаких.
 
[^]
Goldfray
28.09.2017 - 17:18
Статус: Offline


Космонавт

Регистрация: 3.11.11
Сообщений: 1075
Ну, и чтобы меня не заподозрили в предвзятости, у Мегафона все тоже самое.



Два скрипта, метрики и аналитики. Меняем на свои и наслаждаемся получением данных и изменением всяких текстов.

На всякий случай поясню, каким образом можно посмотреть, подложили ли свинью в ваш личный кабинет. Например, с помощью браузера Chrome. Заходите в личный кабинет или что у вас там содержит персональные данные, нажимаете Shift-Ctrl-J, выбираете раздел Network, подраздел JS и нажимаете F5. В списке, который заполнится после этого не должно быть никаких «чужих» адресов, только принадлежащие тому ресурсу, на котором вы находитесь. Крайне желательно, конечно, чтобы в этот момент все расширения браузера были выключены. Найдете что-то интересное, cразу не паникуйте, все же есть некоторые ограничения на доступ скриптов к содержимому. Но на сайтах веб-мастеров, которые уделяют внимание безопасности, внешние скрипты исключены в принципе. Этого правила рекомендую придерживаться всем, кто не хочет подставить людей, пользующихся сервисом. Статистика может быть собрана и собственными средствами, а наиболее точная она будет по журналам веб-сервера, где нет искажений от баннерорезок. Есть варианты JS-статистики, скрипты которой можно хранить у себя.

Я счел правильным сначала сообщать о проблеме самим компаниям до публикации, поэтому в данный момент могло что-то и измениться. Но, в свете происходящего, ресурсов с внешней статистикой на страницах с вашими данными еще очень много.

© Олег Кулабухов Geektimes
 
[^]
bishop66
28.09.2017 - 17:19
69
Статус: Offline


Ярила

Регистрация: 12.03.15
Сообщений: 4079
в целом вообще ровно
по принципиальным соображениям не пользуюсь электронными деньгами и банковскими картами
так же не пользуюсь всякими этими новомодными средствами: компьютерами, телефонами и сматфонами
лучина и гусиное перо, большего мне не надо
 
[^]
Маронюх
28.09.2017 - 17:19
83
Статус: Offline


Ярила

Регистрация: 20.10.12
Сообщений: 1538
годная тема хоть и ниче не понятно up.gif

Это сообщение отредактировал maronyx - 28.09.2017 - 17:21
 
[^]
drakula007
28.09.2017 - 17:20
8
Статус: Offline


Шутник

Регистрация: 3.06.16
Сообщений: 3
ТС,нам то что предлагаешь делать?
 
[^]
OldGarry
28.09.2017 - 17:21
82
Статус: Offline


Хуй! Пизда! Социализм!

Регистрация: 19.06.12
Сообщений: 2999
Вопль вопиющего в пустыне. Пока у нас 90% населения не способно самостоятельно аварийно перезагрузить зависший комп, роутер или телефон- ни о какой IT-грамотности/безопасности не может быть и речи. faceoff.gif
 
[^]
berak
28.09.2017 - 17:22 [ показать ]
-12
evg489
28.09.2017 - 17:22
1
Статус: Offline


несу хуйню в массы

Регистрация: 10.07.09
Сообщений: 13088
Цитата (Goldfray @ 28.09.2017 - 17:14)
Внешние скрипты с доступом к вашим кредиткам и личному кабинету

неплохо
Почем скрипты продашь? Если их немного доработать можно много чего интересного сделать
Upd: снова разговариваю с копипастой

Это сообщение отредактировал evg489 - 28.09.2017 - 17:25
 
[^]
zaebatov
28.09.2017 - 17:25
18
Статус: Offline


Лауреат золотой недали

Регистрация: 4.03.16
Сообщений: 585
В современной WEB разработке используется очень много сторонних модулей, CSS могут грузиться с одного сайта, JAVA SCRIPT, другого, шрифты вообще с третьего.
Суровая реальность, по этому и браузеры ресурсы жрут, как не в себя и страницы весят по 10-50Мб!

Видимо ТС в браузере нажал F12 и прочитав содержимое испытал приступ анальных болей от происходящего... pray.gif

Это сообщение отредактировал zaebatov - 28.09.2017 - 17:29
 
[^]
Primus525
28.09.2017 - 17:25
13
Статус: Offline


Ярила

Регистрация: 31.01.11
Сообщений: 11806
Чем подмена скриптов и днс-записей отличается от фишинга с подменой страниц целиком?

Сдается мне, это открытие Америки.
 
[^]
Primus525
28.09.2017 - 17:26
2
Статус: Offline


Ярила

Регистрация: 31.01.11
Сообщений: 11806
Цитата (berak @ 28.09.2017 - 17:22)
Очередная порция параноидального текста от человека, который явно в этом мало, что понимает.

Как минимум бы "послушал" трафик, тогда бы и понял куда и какие данные улетают. А нет, нарисовал какие-то "умные" картинки и видосы - вброс готов!

данные у него летают между скриптом на диске и куском памяти с браузером))
 
[^]
YUr0K
28.09.2017 - 17:27
8
Статус: Offline


Приколист

Регистрация: 1.02.17
Сообщений: 270
Цитата (maronyx @ 28.09.2017 - 17:19)
годная тема хоть и ниче не понятно up.gif

Ты же вроде по чиркашам сантехнике спец, сюда каким ветром? sm_biggrin.gif
 
[^]
vstgod
28.09.2017 - 17:27
7
Статус: Offline


Ярила

Регистрация: 26.04.13
Сообщений: 1249
90(? не уверен но пусть будет, неважно) процентов юзеров используют движок хрома, таким образом гуглу, яндуху,амиге, опере(я про гуглоаналитику и прочие считалки) если надо будет, самим браузером всё сольёт вводимое на странице куда захочет, если уж на то пошло...

Это сообщение отредактировал vstgod - 28.09.2017 - 17:30
 
[^]
Zamestas
28.09.2017 - 17:29
0
Статус: Offline


Ярила

Регистрация: 20.06.05
Сообщений: 1167
ТС - заведи отдельную карту для покупок в инете, когда нужно чего купить - закинешь денег.
 
[^]
srorokoko
28.09.2017 - 17:30
59
Статус: Offline


МЕРИЛО

Регистрация: 2.09.16
Сообщений: 317
Цитата
Т.е. вы входите под паролем, подтверждаете право владения по SMS

Не ссы, у нас всё по-чесноку...

Внешние скрипты с доступом к вашим кредиткам и личному кабинету
 
[^]
hostchel
28.09.2017 - 17:31
7
Статус: Offline


Ярилище

Регистрация: 6.02.14
Сообщений: 2195
А всего-то, что нужно сделать разработчикам, это всякие формы оплаты подгружать в iframe'ах, чтобы внешние скрипты не могли получить доступ к их содержимому (если, конечно, в самом браузере стоит какая-нибудь свистоперделка ворующая данные, то не поможет)

Это сообщение отредактировал hostchel - 28.09.2017 - 17:32
 
[^]
Sfash
28.09.2017 - 17:33
3
Статус: Offline


Дежурный трюизд-болтолог

Регистрация: 28.02.14
Сообщений: 1805
Цитата
Скажите, как бы вы отнеслись к тому, чтобы продавцы давали возможность собрать атрибуты ваших карточек, включая номер, фамилию и CVC, какому-то постороннему лицу еще в момент оплаты, а также, без пароля, пускали посмотреть, что вы делаете в личном кабинете какого-то сервиса, кому и сколько платите, например.

Мне абсолютно пофиг на это. Для расчетов в интернете имею специальную карту, на которую перебрасываю с основной нужную сумму за пару секунд.

То, что операторы персональных данных в интернете умышленно и неумышленно нарушают все возможные принципы их защиты, мне кажется, должно быть понятно любому здравомыслящему человеку. Для этого не требуется глубоких познаний веб-разработчика, или каких-то иных специальных навыков.
 
[^]
MADPATRIOT
28.09.2017 - 17:34
3
Статус: Offline


Ярила

Регистрация: 27.12.10
Сообщений: 2070
ну спасибо пилядь, моя паранойя схватила очередной приступ, а вообще в интернете своими данными стараюсь не разбрасываться исключение сделал для "госуслуг" т.к была необходимость(
 
[^]
IСанчесI
28.09.2017 - 17:35
18
Статус: Offline


переподпереподвыподверт

Регистрация: 13.07.12
Сообщений: 13014
мне похуй, у меня на балансе ноль уже к вечеру после зарплаты rulez.gif
... cry.gif

Это сообщение отредактировал IСанчесI - 28.09.2017 - 17:36
 
[^]
FHD
28.09.2017 - 17:36
2
Статус: Offline


Читайте этот пост

Регистрация: 19.04.13
Сообщений: 1667
походу чел думает что все данные в браузере обрабатываются)
 
[^]
Xilaxo
28.09.2017 - 17:38
11
Статус: Offline


Ясноликий

Регистрация: 12.01.16
Сообщений: 390
Фишинг ок? меня вообще пугает что с меня снимают какую то статистику, можно я не буду проябывать скорось соединения и трафик на вашу статистику? или доплачивайте за то что собираете! в маштабах даже одного города сколько трафика уходит на открытие статистических и запросов? да нахуй он мне с моего телефона нужен а ?

Это сообщение отредактировал Xilaxo - 28.09.2017 - 17:39
 
[^]
Понравился пост? Еще больше интересного в Телеграм-канале ЯПлакалъ!
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 45642
0 Пользователей:
Страницы: (5) [1] 2 3 ... Последняя » [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы






Наверх