Короткая заметка о том, как еще можно выкрасть IP и Cookie жертвы.
Поможет нам в этом автор утилиты thelinuxchoice. Он же - автор таких инструментов как ShellPhish и Blackeye. Основой способа является СИ и сервис коротких ссылок Bitly.
Атака такого плана была задумана над получением контроля web-счетов жертв путём их обмана. А именно, за счёт принуждения перехода по ссылке с вредоносным кодом, который выполняется в браузере. Атакующий получает данные IP-адреса, User-Agent и Cookie жертвы.
Установка:
В утилиту встроена функция редиректа на тот ресурс, который требуется указать. По дефолту это Инстаграм, можно указать свой. Именно на него попадёт тестируемый субъект.
Предлагается также указать сервис из двух, откуда тестируемые лица подцепят файл с нагрузкой. Затем будут сгенерированы ссылки для предоставления и перехода по ним.
Как только будет переход, атакующий получает данные. А жертва попадает на тот ресурс, который и желал посетить, к тому же может ещё и начать авторизовываться там.
(с) по мотивам заметки от @ Vertigo
Поможет нам в этом автор утилиты thelinuxchoice. Он же - автор таких инструментов как ShellPhish и Blackeye. Основой способа является СИ и сервис коротких ссылок Bitly.
Атака такого плана была задумана над получением контроля web-счетов жертв путём их обмана. А именно, за счёт принуждения перехода по ссылке с вредоносным кодом, который выполняется в браузере. Атакующий получает данные IP-адреса, User-Agent и Cookie жертвы.
Установка:
Bash:
git clone https://github.com/thelinuxchoice/self-xss.git
cd self-xss
bash self-xss.shПредлагается также указать сервис из двух, откуда тестируемые лица подцепят файл с нагрузкой. Затем будут сгенерированы ссылки для предоставления и перехода по ним.
Как только будет переход, атакующий получает данные. А жертва попадает на тот ресурс, который и желал посетить, к тому же может ещё и начать авторизовываться там.
(с) по мотивам заметки от @ Vertigo
