16 842
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A698/index.jpg
Kattints ide  ➜

Az Index és a hacker

Makay József2015.03.03. 09.35
Néhány héttel ezelőtt a hackerek webes támadási módszereiről tartottam kétnapos előadást egy budapesti hivatalnak, ahol a jelenlévők a gyakorlatban is megismerkedhettek a gyakori hibákkal, azok kihasználásával és kiküszöbölésével. Igyekeztem olyan előadást összeállítani, amit a későbbiekben is felhasználhatok, szóval az intézményre vonatkozó példák mellett igyekeztem populárisabb célpontokat is prezentálni.

Túlságosan nem is kellett sokáig keresgélnem, hiszen az egyik támadási módszernél eszembe jutott, hogy Magyarország egyik legnépszerűbb weboldalán is találkoztam példával, bár akkor nem vizsgáltam meg tüzetesebben a problémát, ami igazából nem is sérülékenység, hanem egy eszköz a rosszindulatú támadók kezében.

Figyelem! A cikk közérdekű információkat tartalmaz. Kérjük, oszd meg ismerőseiddel is!

A módszer röviden a következő: A támadás ezen fajtája a megtévesztésre épül. Az áldozatnak egy olyan webcímet küldünk, ami első ránézésre ismerős, így bízva a biztonságosnak vélt linkben, rá is kattint. Csakhogy a webcím nem arra az oldalra irányítja a böngészőt, ahová az áldozat várná vagy hiszi, hanem egy általunk összeállított lapra, ahol a legkülönfélébb eszközöket sorakoztathatjuk fel szegény célpont ellen.

A hangsúly tehát azon a webcímen van, amit elküldünk az áldozatnak. Ez viszont egyáltalán nem egyszerű feladat, hiszen hogyan készítsünk olyan URL-t, aminek a domain része teljesen megegyezik valamelyik népszerű oldaléval, de mégis a mi oldalunkra irányít és még nem is értelmetlenül hosszú?

Ezen terület részletezésénél jutott eszembe az Index.hu oldalain használt linkelési módszer, ami lényegében tálcán kínálja az előbbiekben bemutatott eltérítéses támadás kivitelezésének lehetőségét.




Az Index oldalain az alábbihoz hasonló linkek vannak voltak elhelyezve, viszont a cikk írásának pillanatában az alábbi link az Androbit kezdőlapját nyitja meg:

http://index.hu/x.php?url=http%3A%2F%2Ftinyurl.com%2Fnwro93x

Innen is látszik, hogy nem minden arany, ami fénylik. Hiába kezdődik a webcím az index.hu domainnel, végeredményben mégis az Androbit kezdőlapján kötünk ki, ami helyett persze bármilyen más, rossz szándékú weboldal is szerepelhetne. Ismeretlen emberektől származó linkeket tehát ne nagyon nyissunk meg!




A fenti példa lényege az, hogy az index.hu után látható x.php az url paraméterben megkapott kódolt URL-re irányítja a böngészőt. Az igényesség kedvéért az Androbit webcímét egy URL-rövidítő szolgáltatás mögé rejtettem, hogy semmi se utaljon az eltérítésre.

A koncepció ilyen tevékenységek elvégzésére való felhasználhatóságát először 2015. január 22-én délután jelentettem az Index felé. Nem kaptam választ a levelemre, viszont néhány nappal később az oldalon található linkek URL-jeinek domain része lecserélődött index.hu-ról dex.hu-ra, csökkentve a csalásra alkalmas webcímek hatékonyságát. Lehet, hogy véletlen, de igazából mindegy is.



Egy héttel később, január 29-én ismét írtam az illetékeseknek, miszerint ha nem nagy probléma, a közeljövőben bemutatnám a példát az Androbiten is, hogy egyaránt tanulságul szolgáljon a webfejlesztők és az internetezők számára. Ekkor már választ is kaptam, miszerint az előző levelemet nem kapták meg, írjam le ismét a részleteket. A részleteket ismét elküldtem, a helyzet azóta változatlan.


Mi a megoldás?



Az Index már említett dex.hu-s megoldása ásóbot egyszerűségű és túlságosan trendire sikerült. A dex.hu webcím ugyanis ránézésre ugyanúgy kattintásra ösztönöz, nem is sejtve, hogy az url paraméterben egy támadó alkotása várja, hogy megadják neki a banki adatokat, a jelszavakat és a többi privát információt.

Hasonlóan egyszerű, de sokkal hatékonyabb módszer lett volna a probléma orvoslására az index.hu/x.php eltávolítása és valami gusztustalanul bonyolult domain megvásárlása, ami már tényleg gyanús. Megjegyzendő, hogy ezeket az URL-eket csak a weboldalon elhelyezett linkekben használják, a cikkek URL-jei nem ilyen formájúak, így lényegében bármilyen domaint használhatnának erre a célra.

A másik, kicsit bonyolultabb módszer a szerkesztői felület egy olyan irányú továbbfejlesztése lenne, ami mentéskor összegyűjti a cikkben elhelyezett webcímeket és hozzáadja egy adatbázishoz. Az x.php pedig csak azokra a webcímekre lenne hajlandó átirányítani, ami már szerepel ebben az adatbázisban, tehát a szerzők részéről megbízható(bb)nak minősül.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
A dohányzás sejtmutációs hatásai
Megérkezett az Android 7.0 Nougat a Huawei P9‑re és a Huawei Mate 8‑ra
Már 20 millióan használják az Apple Musicot
Kigyulladt 8 darab iPhone ‑ az Apple szerint nem ők a hibásak
Elektromos autók gyártásába kezd a Xiaomi?
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Felkapott témák
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Melyik lesz 2017 legjobb okostelefonja?
Sokan fognak kiakadni a Samsung Galaxy S8-ra
Állásajánlatok
Storage Engineer
Szimulációs mérnök HF 11-7918
Mérnök – üzletkötő
.NET Fejlesztő Szeged
Kommunikációs szakértő
Head Of Project Delivery Unit
Mobility Service Desk Associate - German and English speaking - VOC00029D