10 informacija korištenih za krađu vašeg identiteta
Krađa identiteta može imati nepredvidive posljedice za žrtve. Istražimo 10 vrsta informacija koje lopovi koriste za krađu identiteta kroz sljedeći članak!
Web8: XSS iskorištavanja - 2. dio: Pohranjeni XSS
U prethodnom članku naučili smo o pogreškama XSS (Cross Site Scripting) i stvarnom iskorištavanju XSS Reflected. Postoji još jedna vrsta XSS-a koja se smatra opasnijom: pohranjeni XSS.
Za razliku od Reflecta, koji izravno napada nekoliko žrtava na meti hakera, Stored XSS cilja više žrtava. Ova se pogreška pojavljuje kada web aplikacija temeljito ne provjeri ulazne podatke prije nego što ih spremi u bazu podataka (ovdje koristim ovaj koncept za referiranje na bazu podataka, datoteku ili druga područja koja pohranjuju podatke aplikacije. web).
S tehnikom Stored XSS hakeri je ne iskorištavaju izravno, već to moraju učiniti u najmanje 2 koraka.
Prvo, hakeri koriste nefiltrirane ulazne točke (obrazac, unos, područje teksta...) za umetanje opasnog koda u bazu podataka.
Zatim, kada korisnik pristupi web aplikaciji i izvede radnje vezane uz te spremljene podatke, hakerski kod će se izvršiti na korisnikovom pregledniku.
U ovom trenutku, čini se da je haker postigao svoj cilj. Iz tog razloga se tehnika pohranjenog XSS-a naziva i XSS drugog reda.
Scenarij eksploatacije opisan je na sljedeći način:
Reflektirani XSS i pohranjeni XSS imaju dvije velike razlike u procesu napada.
- Prvo, da bi iskoristio Reflected XSS, haker mora prevariti žrtvu da pristupi njegovom URL-u. Što se tiče pohranjenog XSS-a, nema potrebe za tim. Nakon umetanja opasnog koda u bazu podataka aplikacije, haker samo mora pričekati da mu žrtva automatski pristupi. Za žrtve je to potpuno normalno jer ne znaju da su podaci kojima pristupaju zaraženi.
- Drugo, haker će lakše postići cilj ako je žrtva u trenutku napada još uvijek u sesiji web aplikacije. S Reflected XSS-om, haker može uvjeriti ili prevariti žrtvu da se prijavi i pristupi URL-u koji on daje kako bi izvršio zlonamjerni kod. Ali pohranjeni XSS je drugačiji, jer je maliciozni kod pohranjen u web bazi podataka, tako da kad god korisnik pristupi povezanim funkcijama, zlonamjerni kod će se izvršiti, a te funkcije najvjerojatnije zahtijevaju provjeru autentičnosti. prvo se prijavite, pa očito tijekom tog vremena korisnik je još uvijek u sesiji.
Iz ovih se stvari može vidjeti da je pohranjeni XSS mnogo opasniji od reflektiranog XSS-a, pogođeni subjekti mogu biti svi korisnici te web aplikacije. A ako žrtva ima administrativnu ulogu, također postoji rizik od otmice weba.
Što je TeamViewer?
TeamViewer je poznato ime mnogim ljudima, posebno onima koji redovito koriste računala i rade na polju tehnologije. Dakle, što je TeamViewer?
Kako prikazati instalirane upravljačke programe u sustavu Windows (PowerShell CMD)
Ako trebate znati koji su upravljački programi instalirani u vašem sustavu, evo jednostavne PowerShell naredbe za dobivanje popisa instaliranih upravljačkih programa u sustavu Windows.
Zelene pozadine, prekrasne zelene pozadine za računala i telefone
Zeleno je također tema koju mnogi fotografi i dizajneri koriste za izradu setova tapeta s glavnim tonom zelene boje. Ispod je set zelenih pozadina za računala i telefone.
Kako pronaći i otvoriti datoteke pomoću naredbenog retka
Kaže se da je ova metoda pretraživanja i otvaranja datoteka brža od korištenja File Explorera.
Što je Scareware? Kako ukloniti Scareware?
Scareware je zlonamjerni računalni program osmišljen kako bi prevario korisnike da misle da je to legitimna aplikacija i traži od vas da potrošite novac na nešto što ne radi ništa.
Kako povećati brzinu internetske veze s cFosSpeedom
cFosSpeed je softver koji povećava brzinu internetske veze, smanjuje latenciju prijenosa i povećava snagu veze do otprilike 3 puta. Osobito za one koji igraju online igre, cFosSpeed će podržati kako biste mogli iskusiti igru bez ikakvih problema s mrežom.
Saznajte više o vatrozidima, Vatrozid za Windows na Windows Serveru 2012
Vatrozid za Windows s naprednom sigurnošću je vatrozid koji radi na Windows Serveru 2012 i omogućen je prema zadanim postavkama. Postavkama vatrozida u sustavu Windows Server 2012 upravlja se u Windows Firewall Microsoft Management Console.
Kako promijeniti lozinku za prijavu na modem i ruter Vigor Draytek
Prilikom promjene lozinke administratorske stranice za prijavu modema i usmjerivača Vigor Draytek, korisnici će ograničiti neovlašteni pristup za promjenu lozinke modema, osiguravajući važne informacije o mreži.
Kako jednostavno overclockati RAM uz AMD Ryzen Master
Srećom, korisnici Windows računala s AMD Ryzen procesorima mogu koristiti Ryzen Master za jednostavno overclockiranje RAM-a bez diranja BIOS-a.