• Batafsil teskari tabnabbing hujumi
    		•

    Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik siyosati




    Download 1,12 Mb.
    bet4/8
    Sana21.01.2024
    Hajmi1,12 Mb.
    #142619
    1   2   3   4   5   6   7   8
    Bog'liq
    kiber-3 amaliy

    Hujum qanday ishlaydi


    Teskari tabnabbing hujumlari foydalanuvchilarga havolalarni yuborish imkonini beruvchi veb-saytlarda amalga oshiriladi, ular bosilganda yangi tabda ochiladi. target=”_ blank” atributi natijasida havola yangi tabda ochiladi.
    Agar foydalanuvchi maqsad atributi “_blank” ga o‘rnatilgan havolani bosganida, uning veb-brauzeri maqsad sahifaga quyidagi ikkita o‘zgaruvchini qo‘shadi:

    • oyna.ochuvchi

    • window.referrer

    window.referrer xususiyati havola bosilgan manba veb-sahifasini saqlaydi.
    window.opener xossasi target=”_blank” xususiyati bilan ota-oynaga havolani qaytaradi. Tafsilotlarni olish va ota-ona oynasiga oʻzgartirishlar kiritish, masalan, jabrlanuvchining asl ochiq yorligʻini soxta, lekin qonuniy koʻrinishdagi sahifaga yoʻnaltirish uchun manzil oynasidan window.opener xususiyatidan foydalanish mumkin. Bu hujumning asosiy nuqtasi.

    Batafsil teskari tabnabbing hujumi


    Teskari tabnabbing hujumi foydalanuvchiga havola bilan doimiy nashr qilish imkonini beradigan veb-sahifalarda mumkin, bu odatda ijtimoiy tarmoqlar va bloglarda sodir bo'ladi. Buzg'unchi o'z devorida yoki bir nechta odamlar ko'rishi mumkin bo'lgan chat oynasida havolani nashr etadi.
    Quyidagi HTML sahifalarini yarating va uni mahalliy serverda joylashtiring. Keyin, http://127.0.0.1:8080/vulnerable.html saytiga kiring, havolani bosing va veb-saytning asl URL manzili qanday o'zgarishiga e'tibor bering .
    Zaif.html
    Bu quyidagi skrinshotda ko'rsatilganidek, giperhavolani o'z ichiga olgan oddiy kirish sahifasi.
    html >
    < html >
    < head >
    < title > Kirish shakli

    < body >
    < h2 > Kirish sahifasi-Original < br >
    < label > < b > Foydalanuvchi nomi
    < / b >

    < kiritish turi = "matn" nomi = "Uname" id = "Nom" to'ldiruvchisi = "Foydalanuvchi nomi" >
    < br > < br >
    < label > < b > Parol


    < kiritish turi = "Parol" nomi = "Parol" id = "Parol" to'ldiruvchisi = "Parol" >
    < br > < br >
    < kirish turi = "tugma" nomi = "jurnal" id = "jurnal" qiymati = " Bu yerga kiring" >
    < br > < br >
    < h1 > Quyosh ko'zoynaklari uchun aqldan ozgan narx!!! Cheklangan materiallar!!!
    < a href = "http://127.0.0.1:8080/Desktop/tab/malicious.html" target = "_blank" rel = "opener" > BU YERGA BOSING!




    Jabrlanuvchi havolani bosganida, brauzer malicious.html ni yangi yorliqda ochadi. Yangi tab ishlatiladigan havola orqali ochilganligi sababli target=“_blank”, tajovuzkor window.referrerva window.openerxususiyatlaridan foydalanishi mumkin.

    Download 1,12 Mb.
    1   2   3   4   5   6   7   8




    Download 1,12 Mb.
    Bosh sahifa
    Aloqalar
        Bosh sahifa
    Dərs
    Mühazirə
    Qaydalar
    Referat
    Xülasə
    Yazı


    Muhammad al-xorazmiy nomidagi toshkent axborot texnologiyalari universiteti kiberxavfsizlik siyosati

    Download 1,12 Mb.