На Black Hat покажут хакерский формат изображений

image

Теги: Black Hat

Один из анонсов конференции Black Hat рассказывает об изображении, способном обходить системы защиты сайтов и захватывать управление аккаунтами других пользователей.

В связи с приближением конференции Black Hat, проводимой на этой неделе в Лас-Вегасе, в Интернете постепенно появляется предварительная информация о вредоносных изобретениях, которые будут продемонстрированы широкой публике.

 Один из анонсов рассказывает об изображении, способном обходить системы защиты сайтов и захватывать управление аккаунтами других пользователей. Такая атака возможна на порталах, разрешающих загружать в профиль изображения. Авторство найденного способа принадлежит компании NGS Software, она назвала придуманный комбинированный формат GIFAR, так как он состоит из картинки формата GIF и JAR в лице специального апплета.

На конференции разработчики покажут, как можно создавать файлы GIFAR и защищаться от них. Для пользователей файл будет выглядеть как обычное изображение GIF, зато в браузере он будет запущен с позиции Java Archive. Примерная схема работы атакующих выглядит так: на сайте создается профиль с изображением, хакеры разными путями заманивают посетителей и в результате открывается доступ, например, к аккаунту Facebook посетителя. Из-за повсеместной поддержки Java атака становится универсальной, работая даже на таком сайте как Amazon.com.


или введите имя

CAPTCHA
Страницы: 1  2  
1
05-08-2008 16:29:38
а ещё они могут как новость преподнести технологию GifRAR для обмена контрафактом внутри картинки
0 |
1
05-08-2008 16:31:24
Мда, вроде бы как новость не особо новая и метод этот не такой уж и революционно-новый. Я об этом ещё год-полтора назад где-то читал
0 |
1
05-08-2008 16:31:53
причём здесь пример какого-либо сайта? приём работает и будет работать для уязвимых версий браузеров и/или системных либ.
0 |
1
05-08-2008 16:34:42
ещё и выполнение java-апплетов должно быть разрешено
0 |
1
05-08-2008 16:48:50
nobody, по умолчанию аплеты разрешены у тех кто пользуется jsp сайтами, технология принципиально новая, т.к. раньше был js код, который выполнялся только в ie.
0 |
1
05-08-2008 17:02:28
сервлеты на jsp сайтах могут быть, а апплетов может и не быть. апплеты - в браузере. И на сайты, с которыми работаешь через апплеты не часто дадут загрузить какой-то мусор
0 |
1
05-08-2008 17:29:13
Апплеты выполняются java-машиной на стороне клиента в браузере. JSP - компилируются в сервлет на стороне сервера и результат работы сервлета (сгенеренный контент) уже отдается браузеру. Апплеты нужно явно разрешать во многих браузерах. И очень мало сайтов, крайне мало, кроме случаев специализированных сайтов, используют апплеты. Уязвимость, конечно, крайне неприятная, но это уязвимость именно браузера. Соотвественно будет зависеть от того, какой браузер и какой версии используется.
0 |
1
05-08-2008 19:01:00
Встречайте Сервлет javashell
0 |
1
06-08-2008 10:12:33
и что? веб-шеллами никогда не пользовался?
0 |
1
06-08-2008 14:38:55
по умолчанию аплеты разрешены у тех кто пользуется jsp сайтамjsp к апплетам никакого отношения не имеют равно как и java к javascrip-у
0 |
1
05-08-2008 19:19:59
Хз, конквыро, джавы нету Джава нинужна Дык чо там, мну ломать будут или нет ?
0 |
1
05-08-2008 20:06:25
Старая технология
0 |
1
05-08-2008 21:24:46
Старая технологияДа нет, новая и перспективная
0 |
Страницы: 1  2