Ne kattints a gyanús linkre, mert ha megnyitod a gonosz weboldalt már meg is fertőzte a géped!

[-]

l4r1ty@reddit

A legijesztőbb, amivel mostanában is találkoztam, átlag felhasználót is érinthet anélkül, hogy direkt célpont lenne, és a mai napig nincs teljesen megoldva, az a browser extension clickjacking.

Clickjacking, tehát nem elég csak a linket megnyitni, hanem kattintani is kell rajta egyet. Ez pont elég ahhoz hogy a password managered bele dumpoljon mindent, ami autofill lenne mondjuk egy random webshop checkout. Ha nem targeted, akkor “csak” azok az adatok kerülnek ki az extensionből, ami nincs egy domainhez kötve, pl. a bankkártya adatok :)))

És gondolhatná az ember, hogy ki a tököm kattintgatna egy random phising oldalon, ha már megnyitott egy linket és rájött hogy phishing, de az az egy kattintás lehet egy cloudflare captcha, vagy egy zavaró helyen lévő cookie alert, és annyi volt.

[-]

Intelligent-Cod-1280@reddit

Ez eleg fura, a jo autofillek csak adott urleken mukodnek, ezert is nem irja rosszul a jelszavad xyz oldalon amikor klm oldalon vagy....

[-]

hron84@reddit

A bankkártya adatok nem kötődnek domainhez, a cím adatok sem pl. (Chrome)

[-]

Ok-Scheme-913@reddit

De az autofill miért töltene ki bármit egy random oldalon? Hacsak nem azt mondod hogy ez egy már feltelepített extension és egy ismert oldalt nyit meg és csak a klikkre van szüksége valami security megkerülése miatt? De akkor meg a legnagyobb akadály hogy azért extension-öket nem installálnak ezer számra az emberek.

[-]

l4r1ty@reddit

Ez a DEF CON 33-ban volt: https://marektoth.com/blog/dom-based-extension-clickjacking/ De valaki publikált egy poc-t chromium browser built-in password managerre is, ha megtalálom, elküldöm

[-]

atleta@reddit

Ez attól függ, h mekkora és milyen hiba van a böngészőben. Általában csak adathalász linkeket kuldozgetnek a csalók, ezekre nyilván nyugodtan kattinthatsz. De simán lehet olyan hiba is, ami távolról kód futtatását teszi lehetővé (például, ha egy puffer tulcsordulas/buffer overflow jellegű hibát sikerül előidézni valami ügyesen formázott adattal). És onnan, ha van az oprendszeredben megy egy jogosultság eszkalacios (privilidge escalation) hiba is, amivel a sima felhasználó által futtatott kód rendszergazdai jogosultságot tud szerezni, akkor át is vettek a géped felett az irányítást. (Nagyon régen nem windows-oztam, nem tudom, h a tipikus Windows felhasználó esetében mennyire van amúgy lekorlatozva a mindennaposan használt felhasználó, lehet hogy ez sem kell.)

Ilyen hibák, egyuttallasok egyébként mobilon ténylegesen előfordultak és ki is használták azokat támadók. A pegasus is, bár ott szokott lenni "0 click" megoldás is, amikor még ennyi sem kell.

Nyilván egy ilyen hiba (pláne a kettő kombinációja) elég ritka és ezért elég értékes - jó eséllyel nem vaktában fogja kuldozgetni egy hitelkartya-adat tolvaj, hanem tippre inkább személyre szabott támadásoknal használják.

[-]

Adorable-Routine-474@reddit

Általában nem a böngészőben van a hiba. ;)

A facebook és a Chrome biztonságos, de a szivarvany2000 kft weboldala biztos, hogy nem megy át egy OWASP best practice teszten sem, és simán el tudják lopni az érvényes cookie-t, jwt tokent. A legnagyobb kockázat nyilván a bankkártya adat, és ugyannak a jelszónak a használata, mint mondjuk Gmail-ben.

Úgyhogy inkább ne kattingassunk nyugodtan semmilyen random linkre.

Főleg ne telepítsünk böngésző bővítményt, semmilyet se, mert előbb-utóbb úgyis eladják.

[-]

atleta@reddit

Nem tudjak browser bug nelkul csak ugy ellopni a cookie-dat/jwt tokenedet ugy, hogy egy linkre kattintasz, barmit is csinal a szivarvany Kft. (Mar amennyiben a link nem a szivarvanykft szerverere mutat, es/vagy nem hallgatjak le a halozati forgalmad, de az esetben meg tartozik a "gyanus link" kategoriaba.)

[-]

Adorable-Routine-474@reddit

Nem vagyok Securitys, de provokatív leszek.

Akkor a Session Hijacking és Cookie Theft fogalmak kitaláltdolgok?

Programozóként, OWASP képzéseken, amikor pont a CORS, XSS - jwt / cookie hijacket próbáltatják ki velem, akkor az nem igazi, csak álmodom? :)

[-]

atleta@reddit

Nem vagyok Securitys, de provokatív leszek.

Nem baj az, a vitabol tanulunk.

Akkor a Session Hijacking és Cookie Theft fogalmak kitaláltdolgok?

Nem ezt mondtam, hanem azt, hogy azzal, hogy megnyitsz egy ismeretlen oldalt (tehat nem az ala a domain ala tartozo oldalt, aminek a cookie-jat el kene lopnia valakinek toled), akkor ez nem fordulhat elo (hacsak nincs hiba a bongeszoben, de ugye azt meg pont fent targyaltuk).

Programozóként, OWASP képzéseken, amikor pont a CORS, XSS - jwt / cookie hijacket próbáltatják ki velem, akkor az nem igazi, csak álmodom? :)

Nezd, siman lehet hogy en gondolom ezt rosszul (regen foglalkoztam vele), de arra tippelnek, hogy ott a megtamadott oldalba agyazott koddal loptatok a cookie-kat. (Ami mondjuk egy rosszul osszerakott forumnal siman elofordulhat, csak itt nem errol beszelunk.)

De most, hogy igy gyorsan rakerestem, van egy trukk, ami mukodhet, a session fixation (leginkabb akkor, ha az URL parameterben is elfogadja a sessionid-t a szerver, es ha elfogadja az ismeretlen, igy akar a kliens altal generalt sessionID-t): a tamado kuld egy linket, ami redirectel a szolgaltatasra (vagy eleve az odamutato linket kuldi), ahonnan el akarja lopni a session-od, a redirect url-be belerakja az altala generalt sessionID-t, amit ervenyesitesz, amikor belepsz az oldalra (ha belepsz). Ez is aktiv felhasznaloi kozremukodest feltetelez, de mondjuk hogy ezt tenyleg nehez kiszurni, mert a valodi belepesi oldalon fogsz kikotni.

[-]

Adorable-Routine-474@reddit

Bocs amugy, csak nyugos vagyok a hosszu nap utan, nem neked szol.

Tegyuk fel, hogy szivarvanybt.hu XSS tamadast szenvedett, és hozzafer a javascript a sutikhez.

Ha megnyitom az artatlanlink.hu-t, redirectelek szivarvanybt.hu-ra, elfedem az oldalt egy ures feherseggel, ellopom a cookie-t, majd visszakuldom artatlanlink.hu/landing-re, akkor egy link megnyitassal megoldottam a suti lopast eszrevetlenul.

De vannak mindenfele mas, pl. md5 hashelest kihasznalo specko helyzetek is. Pl fajl feltoltesnel bekerul az url-be a token

[-]

hron84@reddit

Ha nativan redirectelsz, akkor nem tudod elfedni. Egy iframe-ben viszont már több lehetőséged van.

[-]

opacitizen@reddit

(…) a Chrome biztonságos

Kivéve, amikor néha nem: https://www.youtube.com/watch?v=AZUp5nY7BWU (mondjuk rövid időablak, de megesik.)

[-]

catcint0s@reddit

FB is van hogy Android exploittal kémkedik utánunk https://localmess.github.io/

[-]

Ok-Scheme-913@reddit

Hát egy ilyen szintű attack-ot ismétlem, hogy nem fognak random emberek ellen elhasználni.

Ezzel ilyen state level actorok csesztetik egymást, ráadásul egy ilyen vulnerability-nek limitált az életideje.

[-]

atleta@reddit

Persze, ezert is irtam az utolso bekezdest. Nem volt egyertelmu, hogy OP pontosan mire volt kivancsi (a technikai hatterre vagy a gyakorlati veszelyekre). De, ha mar egymas kozt vagyunk, akkor gondoltam nem art a reszletes magyarazat :)

[-]

Plesi68@reddit

a privilidge az privilege amúgy (senki se kérdezte csak bassza a szemem mert köcsög angoltanáraim voltak)

[-]

atleta@reddit

jogos

[-]

opacitizen@reddit

ugyanitt a fishing is phishingre cserélhető OP posztjában (bocs, OP)

[-]

Cool-Ad552@reddit

Nálunk céges szinten küldtek ki phishing teszt emailt. Balfasz voltam, rákattintottam mert a projemhez kapcsolódó volt ránézésre. Amikor bejött az oldal, szépen végigvezetett rajta hogy hogy készült az email (automatikusan queryzték a LinkedIn profilom, a cégem arculata és a projektjeim leírása alapján generáltak egy eléggé hihető emailt), illetve hogy milyen adatokat tudták volna ellopni, mit tudtak volna csinálni. A mélyebb technikai részeket nem magyarázták el és nem is értem hogy hogy tudják lenyúlni az összes sütim, de ki volt listázva majdnem az összes fiókom, tokenekkel, azok lejáratával és a hozzáférés szintjével. (LinkedIn, azure, aws, GitHub, Facebook stb.)

[-]

Anknd@reddit

Vagy fejtsd ki bővebben hogyan loptak el a cookiekat

gif

[-]

Humble-Vegetable9691@reddit

https://attack.mitre.org/techniques/T1539/

[-]

atleta@reddit

Ezek, amik itt fel vannak sorolva, malware-ek, amiket, ha telepitett a kollega, akkor azert eleg amator es messze nem arrol van szo, hogy csak megnyitott egy linket egy emailbol. (Meg a megoldas sem annyi nyilvan, hogy "ejnye, no - legkozelebb figyelj jobban", mert akkor ott van meg a fertozott gep).

[-]

Humble-Vegetable9691@reddit

Harmadik bekezdés

[-]

atleta@reddit

Ugyanazt a csontot ragjuk... Nyilvánvalóan ezek közül egyik sem áll meg a fenti történet esetében. JFTR:

There are several examples of malware targeting cookies from web browsers on the local system.[2][3] Adversaries may also steal cookies by injecting malicious JavaScript content into websites or relying on User Execution by tricking victims into running malicious JavaScript in their browser.[4][5]

[-]

Cool-Ad552@reddit

Mint említettem, fogalmam sincs róla.

[-]

BigDDani@reddit

ha nem internal, akkor egy link?: )

[-]

Cool-Ad552@reddit

Külsős, cybersec fókuszú cég küldte, általuk regisztrált domainre mutatott a link, de volt benne egyedi azonosító, valószínűleg az köthető hozzám vagy a cégemhez.

[-]

Ok-Scheme-913@reddit

De a cookiekat sehogy nem lehet egy ilyennel ellopni, azok domain-specifikusan vannak tárolva. Ha megnyitod a shadywebsite.com-ot az csak a saját cookie-jait látja, a Facebook által mentetthez köze sincs.

Vagy valami kamu marketing szöveg, hogy "most lelophattuk volna a Facebookodat iiis", vagy idk. (Esetleg még amit el tudok képzelni hogy valami bank és akkor saját certificate-et telepítettek és man-in-the-middle-özték a saját felhasználóikat? De az elég para lenne)

[-]

Humble-Vegetable9691@reddit

Bank? Kb. mindenki man-in-the-middle-özi a saját felhasználóit, ezért halt ki a certificate pinning.

[-]

Ok-Scheme-913@reddit

Not my experience. A programok fele nem működne egy rendes mitm firewall-al. Dolgoztam bankban és végül úgy játszottam ki, hogy telibe böngészőben remote desktop-oltam saját szerverre és azon neteztem. Technikailag itt is látják "plain text" amit csinálok, de mivel az valamilyen compressed pixel data így sokra nem mennek vele

[-]

Humble-Vegetable9691@reddit

Nekem eltartott egy darabig, amíg rájöttem, hogy miért nem működik a webes remote desktop a cég által fizetett tanfolyamon😄 Amatőrök voltak az IT secusaitok.

[-]

-Melkon-@reddit

Nekünk rendszeresen vannak security trainingek (szórakoztató-comedy jellegű mini filmek) és néha jönnek kamu emailek is. Ha reportolom pár órán belül jön az email hogy teszt volt, átmentem.

Általában olyanokat küldenek ami viszonylag hihető de azért 1-1 dolog off rajta aminek gyanúsnak kéne lennie. Eddig egyszer se vettem be.

Jók ezek, a #1 security risk te vagy.

[-]

Excellent_Suit_10@reddit

Elvileg lehetséges, sőt biztosan léteznek olyan támadások, ahol már egy weboldal megnyitása is elég a fertőzéshez, de ez nem tipikus. A modern böngészők elég jól sandboxolnak, így ehhez általában valamilyen kihasználható sérülékenység (exploit) is szükséges.

A gyakorlatban inkább az a jellemző, hogy a támadók a legegyszerűbb utat választják: például phishing oldalakkal próbálnak felhasználónevet és jelszót megszerezni, mert ez sokkal olcsóbb és hatékonyabb.

Amikor betöltesz egy weboldalt, JavaScript kód fut le, és történhetnek automatikus letöltések is, de ezek önmagukban nem jelentenek fertőzést, mert a letöltött fájlok futtatásához általában felhasználói interakció szükséges.

Elméletben léteznek úgynevezett „drive-by” támadások, ahol a böngésző vagy a rendszer hibáját kihasználva kódot futtatnak a tudtod nélkül, de ezek ritkábbak, és jellemzően nem átlagos felhasználók ellen használják.

A Pegasus egy jó példa arra, hogy léteznek interakció nélküli exploitok, de ez inkább célzott, magas szintű támadásokra jellemző, nem általános webes fenyegetés.

Ami gyakoribb, hogy egy gyanús oldal átirányít más oldalakra, megpróbál rávenni további kattintásokra, adatmegadásra, vagy erőforrásokat használ (pl. reklámok, esetenként kriptobányászat), de valódi fertőzéshez általában további lépés szükséges a felhasználó részéről.

[-]

r45r3@reddit

Én azt ajánlom nézd meg a beef XSS keretrendszert, mit tud elérni egy script kiddie ember azáltal, hogy megnyitsz egy oldalt. Pl. Eléri azt amit az otthoni böngésződ (iot cuccok vagy a rootered admin felulete) Vagy ami érdekes lehet meg, ha megnézed, hogyan működik egy ps4 jailbreak. Jellemzően böngészővel törik ezen konzolokat, egy js file betöltésével szereznek root jogot a ps felett. Átlagos fejlesztőként amúgy nem fogod érteni a kódot (átlag securitysként sem mondjuk) de szerintem jó példák. :)

[-]

Ok-Scheme-913@reddit

Annyiban nem jó példa, hogy gépen a böngészőket gyakran frissítik és nem egy stale target mint ps4-en.

[-]

r45r3@reddit

Ez igaz, de ha 0-day vuln es nem jelented be, szerintem egy jo ideig el lehet vele menni. Persze igaz, hogy ez baromi ritka es nem is vaktaban lovik el, mert ahhoz baromi draga.

[-]

Andy12100@reddit

Cookie/session lopás pl. egy reális támadási pont. Ha be vagy jelentkezve egy weboldalon ahol van valami sérülékenység, akkor azt kihasználva el tudják lopni ahhoz az oldalhoz a sessiont amivel be vagy loginolva.

[-]

Zooty6@reddit (OP)

Hogy fér hozzá A oldal sütijeihez B oldal, hogyha más a domain? Ezt nem kéne a böngészőmnek élből megakadályoznia?

[-]

kukacmalac@reddit

CSRF támadásnál nem is kell ellopja a sütiket, hanem csak kiadat a böngészővel egy requestet a másik oldalra, a request pedig az ott aktív sütijeidet felhasználja.

[-]

lazy-shenanigan@reddit

Azt jó esetben a CORS megfogja nem?

[-]

kukacmalac@reddit

Ha jól tudom nem, mert pl. be tud küldeni POST kérést fetch-el js-ből, csak nem fog rá választ kapni. Viszont a fogadó szerver feldolgozza, és a támadót ez érdekli. Van ez a SameSite cookie beállítás, ezt kell azt hiszem strict-re tenni, és az véd CSRF-es session lopás ellen. De csak hobbiprojekten webezek, úgyhogy lehet lesz aki jobb választ tud adni erre.

[-]

Aaberu@reddit

Wouldn't a preflight OPTIONS request be sent from your browser before that, to prevent exactly what you describe?

[-]

kukacmalac@reddit

Here it says that forms are not preflighted so you have to defend with other approaches

[-]

catcint0s@reddit

Nem tud másik domainre küldeni POST-ot (ha csak nincs ott engedélyezve).

[-]

kukacmalac@reddit

Nekem ebből az jött le, hogy lehet küldeni, javíts ki ha tévedek

[-]

BisexualThrowaway-13@reddit

Nem vagyok cyb sec szakember, de tapasztaltabb vagyok benne az átlag webfejlesztőnél, és a "jó eset" sajnos nem elég gyakran fordul elő.

[-]

charlie_hun@reddit

Vagy megfogja, vagy nem. Kliens oldalon lévő védelemre nem alapozunk.

[-]

Wild-Raspberry-1770@reddit

Process Injection (Folyamat-befecskendezés)

Cookie Session Hijacking (Sütialapú munkamenet-eltérítés)

Drive-by Download (Átfutó letöltés böngészés közben)

Router és hálózati támadások (DNS hijacking / MitM)

Wi-Fi és Bluetooth alapú támadások (Levegőn keresztüli hackelés)

[-]

washmyoldbluejeans@reddit

sztem srmmi baj ezzel a "bölcsességgel". ennél pontosabban pont azoknak nehéz elmagyarázni a dolgokat akiknek a leginkább szól ez

[-]

Parking-Fee1970@reddit

Ja. Nem neked kell nem kattintanod.

[-]

GarlicImaginary5803@reddit

Egyik ügyfelemnek egy szar magyarsággal megírt kamu-MBH-s email linkjének megnyitása (nem tudom mit adott meg utána) 4 milliójába került.
True story.

[-]

Ok-Scheme-913@reddit

Mondjuk ha a bank nem tilt le egy ilyen gyanús tranzakciót akkor utána küldje is vissza a pénzét

[-]

GarlicImaginary5803@reddit

Valahogy kárpótolták, de volt izgalom.

[-]

HUNTejesember@reddit

Az MBH login oldalát kb egy éve durván pontosan sikerült koppintani, sokan meg is ették

[-]

purple_rookie@reddit

Elsőnek a Web App client oldalú sebezhetőségek jutnak eszembe. Ezeknél megtörténik a támadás onnantól, hogy megnyitod a linket. Például: XSS, CSRF, CSWSH, CORS misconfiguration, web cache discrepancy, stb.

De ezek csak egy kifejezett weboldalt támadnak és az abban lévő adataid. Nem pedig a te konkrét gépedet.
Említették még a browser exploit-okat, ami szintén lehetséges.

Na de, a kérdés, hogy ezek mennyire gyakoriak?
Tegyük fel kapsz egy malicious linket e-mailben.

Nagyjából, - 90% hogy phishing link - 5% hogy malware download - 1% hogy valami Web App sebezhetőség - 0,1% hogy browser exploit

Ezek nem tűpontos statisztikák, de azért szépen rávilágít az arányokra.

[-]

Humble-Vegetable9691@reddit

De ő nem egy sima levelet kapott, hanem egy olyat, amiért a saját cége fizetett valakinek, hogy küldjön egy, a cég profiljából adódóan releváns szintű támadó linket.

[-]

purple_rookie@reddit

Ezt honnan tudod? Igazából nem is látok semmi olyan információt a posztban, ami azt mondaná, hogy ő kapott bármilyenféle levelet vagy e-mailt. Ezt nem ilyen támadóan kérdezem, csak tényleg nem látok erre utalást.

De nem is igazán fontos ez.

Szimplán arra próbáltam rámutatni, hogy bár igen, vannak olyan támadások, ahol szimplán a link betöltése már károkat okoz, ezek kifejezetten ritkák a mindennapokban.

[-]

Humble-Vegetable9691@reddit

Bocsánat, eltévedtem, azt hittem, hogy ez alatt a hozzászólás alatt vagyok: https://www.reddit.com/r/programmingHungary/comments/1thherf/comment/omn22gv/

[-]

purple_rookie@reddit

Jaaa, oksi, semmi gond:)

[-]

opacitizen@reddit

Kezdj el követni pár releváns yt csatornát, ha jobban képbe szeretnél kerülni, ill. kicsit naprakészebb akarsz lenni. Random példa: https://www.youtube.com/@LowLevelTV/videos

[-]

Intelligent-Cod-1280@reddit

Ez meg a hosidokbe mukodott de ha a bongeszod naprakesz akkor ennek az eselye kb 0. Ez 0 day szintu tamadas lenne up to date bongeszo ellen, vagyis napokon heteken belul patchelnek. Persze telepites, egy Windows 98 at es nem updateled a bongeszot, azzal megnyitasz egy rossz weboldalt akkor siman sebezheto vagy...

[-]

jailbird@reddit

0-day böngészősebezhetőségek mindig lesznek, max. nem tudunk róluk.

[-]

Ok-Scheme-913@reddit

Erre csak azt tudom én is mondani, hogy persze, vannak ilyenek. De ezek elég szép áron mennek a fekete piacon, csak ideiglenesen működnek és valszeg nem a 13 éves orosz kissrác fogja megvenni ezeket hogy Marika néni 80 ezres nyugdíjából 3000-et lenyúljon, vagy megszerezze a Facebook jelszavát, amit úgy is minden héten elfelejt.

[-]

Coolengineer7@reddit

Azért anna elég kiforrott technológiának kéne lennie hogy egy string-et domain resolve-ol, és nem minden egye alkalommal j betűvel jelzik a buffer végét...

Aztán ha meg egy webszolgáltatás olyan rossz, hogy kattintás és js nélkül csak url alapján csinál valamit, az már rég rossz. Persze még így is ez lehet a leggyakoribb sebezhetőség. (pl. mybank.com/transfer/to/592858885828/confirm/yes )

[-]

Zahuczky@reddit

Alig pár hónappal ezelőtt volt iOS-en a “Darksword” exploit. Meglátogattál egy weboldalt, ott nem is kellet beütni semmit, és el is loptak az iCloud drive-rol a fájlokat / fotókat, az SMS-eket, egyéb chat alkalmazasokbol a beszélgetéseket, kripto tárcákat, hívás listát stb stb. Es csak egy weboldalt nyitottál meg. Az egyik legbiztonságosabb operációs rendszerben.

[-]

mrxaxen@reddit

Nem láttam a kommentek között pedig elég friss: win11 notepad markdown link code execution. Volt egy géniusz aki úgy gondolta hogy notepadben a markdown linkek alapértelemzett böngészővel való megynyitását a ShellExecuteExW() meghívásával abszolválja.
Azzal az erővel hogy rákattintottál a linkre, már le is szedte és futtatta ami mögötte volt.

[-]

LordVipera@reddit

Az attól függ milyen linket kapsz. Van aminél para, de vannak a bénábbak ahol bejön valami oldal, hogy add meg az adataidat stb. Ezért a legbiztosabb ha nem nyitsz meg semmit.

[-]

Zooty6@reddit (OP)

Na én arra a para linkre vágyok kíváncsi, hogyan és mit csinál. Tudsz példát mondani egy ilyen támadásra?

[-]

r45r3@reddit

Ps4 jealbreak js fileok, konkretan root jogig torik a freebsd alapu ps rendszeret egy js file-al. Altalaban eloszor a webkit exploit segitsegevel kitornek a bongeszo sandboxbol es kernel exploit segitsegevel pedig root jogot szereznek a ps-en.

[-]

kukacmalac@reddit

Itt egy példa, ha megnyitod az oldalt lefut a