Open InfoSec Days

Содержание

Слайд 2

Отказ от ответственности

Информация предоставлена исключительно в ознакомительных целях.
Всю ответственность за использование и

Отказ от ответственности Информация предоставлена исключительно в ознакомительных целях. Всю ответственность за
применение полученных знаний каждый участник берет на себя

Слайд 3

Сross Site Request Forgery

CSRF (англ. Сross Site Request Forgery — «Подделка межсайтовых

Сross Site Request Forgery CSRF (англ. Сross Site Request Forgery — «Подделка
запросов», также известен как XSRF)
Вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя, который не может быть проигнорирован или подделан атакующим скриптом.
Угрозы
Произвольные действия на целевом сайте без авторизации (отправка сообщений, смена секретного пароля)
Кража cookie (CSRF + Passive XSS)

Слайд 4

Проблема. Пример кода

Отсутсвие проверок на то, что пользователь действительно сам отправил форму


Проблема. Пример кода Отсутсвие проверок на то, что пользователь действительно сам отправил форму
type = “text” name = “field”>


Слайд 5

Эксплуатация
GET
Подставить (к примеру) тэг и указать в нем адрес с нужным

Эксплуатация GET Подставить (к примеру) тэг и указать в нем адрес с
нам действием на целевом сайте. Действие выполнится с cookie посетителя

POST
Посредством iframe и формы с POST запросом, в которой указаны значения нужных нам полей

Слайд 6

Содержимое атакующей страницы


Содержимое form.html


Содержимое атакующей страницы function submit_form(){ window.evilframe.document.forms[0].submit(); } Содержимое form.html
type=text value=“OISD”>



Слайд 7

CSRF + XSS

Заполнить через CSRF уязвимое место к XSS на сайте скриптом

CSRF + XSS Заполнить через CSRF уязвимое место к XSS на сайте
вида

Имя файла: Open-InfoSec-Days.pptx
Количество просмотров: 132
Количество скачиваний: 0
- Предыдущая
ПРОЕКТНАЯ ТЕХНОЛОГИЯ
Следующая -
Субкультуры Выполнили: Ученицы 9 «Б» класса Семёнова Алёна, Липина Наталья Проверил: Кулешова Н.В.

Похожие презентации

Интеллектуальный сервисный центр по электронным услугам населению
4e4291b86d3b0ca5945dd87b9325aa10 (1)
Никола Тесла и Догмати Православља
Бизнес-кейс от компании Mars
Муниципальное образовательное учреждение «Шимкусская средняя школа»11 класс (классный руководитель Петрова Елена Ильинична) Об
Программа повышения квалификации руководителей и специалистов служб капитального строительства ДАО АК «Транснефть»
Прославившиеся ученые Саратовской области
Театральные профессии
Создание кроссворда с проверкой
Запуск овсяного печенья Конфи ДЕРЕВЕНЬКА
Téli képek
Личностно-карьерная траектория развития в ВУЗе Удод Елены Витальевны
Государственные символы России
Лекция 7
Управление привлеченными средствами в банке (на примере Операционного офиса №1 в г. Рязань Филиала НБ Траст в г. Владимир)
Живопись. Постановка и этюд натюрморта
Опера Жоржа Бизе«Кармен»
Документооборот исполнителя
Презентация на тему Элементы таблицы Менделеева
Технология развивающего обучения Д. Б. Эльконина
Электронное пособие «Жанровое своеобразие романа И.С. Тургенева «Рудин».
Презентация на тему Приведение дробей к общему знаменателю (урок в 6 классе)
Биография А.С. Пушкина
Odin - тимбилдинг внутри компаний
КАФЕДРА «КОММУНИКАТИВНЫЕ НАВЫКИ, ОСНОВ ПСИХОТЕРАПИИ, ОБЩЕЙ И МЕДИЦИНСКОЙ ПСИХОЛОГИИ»  ЭЛЕКТИВНЫЙ ЦИКЛ«Коммуникация и консульти
Об АТИ в целом
Анализ современной ситуации с оказаниемнаучно-методической помощи детским библиотекам России
Презентация на тему Понятие и задачи производства
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть