Przejęcie zasobów x monkeyuser.com

monkey-user-resource-takeover

 

Przegapiłeś ostatni wolny kubek i nie masz w czym zrobić sobie kawy? Może okazać się, że poza ostatnim wolnym kubkiem, ktoś przejmie o wiele więcej…

 

Zobacz jak boleśnie przekonało się o tym kilku gigantów.

 

Nie daj się nabrać przez 365 dni w roku. Przeczytaj do końca i poznaj nasze wskazówki.
Zadbaj o to, żeby aplikacje, które tworzysz były bezpieczne. Zorganizuj warsztaty Secure Aware Developer w swojej firmie.

 

Przeczytaj do końca i sprawdź nasze wskazówki.

 

 

Przejęcie kont użytkowników

Kluczowym zasobem, który można przejąć są konta użytkowników. Poniżej kilka przykładów, gdzie masowo przejęto konta użytkowników.

 

  • Błąd Facebooka, który pozwalał odblokować konto dowolnego użytkownika na developerskiej wersji serwisu beta.facebook.com.

 

O tym, dlaczego protokół OAuth lepiej pomijać w procesie uwierzytelniania pisaliśmy tutaj. Boleśnie przekonali się o tym Airbnb oraz Uber.

 

  • Na Airbnb możliwe było uwierzytelnienie użytkownika poprzez kradzież tokenów OAuth.
  • Atak z wykorzystaniem kradzieży tokenu dostępu OAuth zaliczył również Uber.

 

 

Przejęcie subdomeny

Nowy pomysł w portfolio hakerów polega na tym, że subdomena (np. sub.example.com) wskazuje drugą domenę (anothexample.com) przez rekord CNAME DNS i ta druga domena wygasa. Osoba atakująca może ponownie zarejestrować domenę anotherexample.com, a tym samym przejąć sub.example.com.

 

Metoda może być przydatna w konstruowaniu ataków phishingowych lub kradzieży ciasteczek (cookies) ustawionych na domenę nadrzędną.

 

Więcej o tym ataku możesz przeczytać tutaj:

A Guide To Subdomain Takeovers

Subdomain Takeover: Basics

 

 

Cryptojacking

Atakujący mogą wykraść zasoby twojej witryny i wykorzystać je do… kopania kryptowalut. Dzięki podatności cross site scripting możliwe jest dodanie szkodliwego skryptu, który po uruchomieniu będzie uruchamiał koparkę kryptowalut.

 

 

Jak zadbać o bezpieczeństwo:

– Przeprowadź ocenę bezpieczeństwa swojej aplikacji, aby sprawdzić czy konta użytkowników są odpowiednio chronione

– Jeśli posiadasz wiele subdomen to sprawdź czy nie mogą zostać przejęte

– Monitoruj wydajność komputera i raz na jakiś czas zamknij nieużywane karty w przeglądarce

 

Zabezpiecz swój kubek przed przejęciem przez kolegów uzależnionych od kawy lub personel sprzątający. Przechowuj go w zamkniętej szufladzie lub przypnij go kłódką.

 

 

Subskrybuj nasz newsletter i bądź na bieżąco!

 

Śledź nas na Twitter | Medium | Facebook | LinkedIn | GitHub

 

Materiał powstał we współpracy z monkeyuser.com

Bądź na bieżąco!

  • Artykuły i raporty
  • Narzędzia
  • Nasze prezentacje i relacje z konferencji na całym świecie
Podanie danych jest dobrowolne. Będziemy wysyłać newsletter do czasu cofnięcia zgody (Możesz cofnąć zgodę w każdym czasie). Dane będą przetwarzane przez okres czasu wskazany w Polityce Prywatności dostępnej pod adresem URL.
Administratorem danych jest SecuRing S.J. z siedzibą ul. Kalwaryjska 65/6, 30-504 Kraków. Mam prawo cofnąć zgodę w każdym czasie (można bezpośrednio kliknąć w e-mailu z newslettera lub wysłać informację na adres e-mail info@SecuRing.pl lub pod numerem telefonu: 12 425 25 75). Mam prawo dostępu do danych, sprostowania, usunięcia lub ograniczenia przetwarzania, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego i prawo do przeniesienia danych. Podstawą prawną do przetwarzania danych osobowych jest art. 6 ust.1 lit. a) rozporządzenia o ochronie danych osobowych (RODO).
Administrator korzysta z różnych rozwiązań informatycznych, które pozwalają na sprawniejszą komunikację oraz wysyłkę newslettera (te firmy są tzw. odbiorcami danych/procesorami). Dane nie są przekazywane poza Europejski Obszar Gospodarczy. Firmy te mają podpisane stosowne umowy powierzenia przetwarzania danych osobowych.
Dziękujemy za zapisanie się do newslettera.
Wystąpił problem z przesłaniem wiadomości.
Prosimy o kontakt telefoniczny.