За такой лайф хак отдельное спасибо; Линукс чудо! А Автор КРАСАВА!
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Фишинг атака на примере форума XSS. Получаем log:pass прямо в Telegram.
реально все разжевал!!
Малаца что для начинающих делаешь. Занесу свои пять копеек.
Проверяйте всё что прилетает к вам через $_POST, стоит помнить что потенциально туда может прилететь совсем не то, чего ожидаешь.
Например может так случится, что опытный заметил подмену, и смеху ради решил отправлять множество POST запросов на ваш отстук, и вместо желанных логинов и паролей в телегу ежесекундно начнут прилетать отрывки из /dev/urandom. Раньше, когда инфу писали в файл, так переполняли место у хостера и затея проваливалась, есть ли ограничения у ботов на количество запросов на единицу времени сейчас не могу сказать, возможно что есть, да и разбирать такой лог будет весьма больно. Так что стоит предварительно на целевом сайте узнать, какие есть ограничения на длинну юзернейма и парольную политику, дабы можно было соответствующие фильтры выставить.
Проверяйте с каким юзерагентом к вам пришли, это от совсем опытного не спасёт, но так уже лучше чем не проверять вовсе.
Проверяйте IP адреса, есть ли признаки того что они из TOR сети, есть ли они в списках проксей, принадлежат ли они хостерам серверов.
Следите за частотой запросов к вашему отстуку, внезапный рост верный признак того, что затею раскрыли.
Чем больше вы соберёте информации и проверите её, тем лучше будет вам.
Проверяйте всё что прилетает к вам через $_POST, стоит помнить что потенциально туда может прилететь совсем не то, чего ожидаешь.
Например может так случится, что опытный заметил подмену, и смеху ради решил отправлять множество POST запросов на ваш отстук, и вместо желанных логинов и паролей в телегу ежесекундно начнут прилетать отрывки из /dev/urandom. Раньше, когда инфу писали в файл, так переполняли место у хостера и затея проваливалась, есть ли ограничения у ботов на количество запросов на единицу времени сейчас не могу сказать, возможно что есть, да и разбирать такой лог будет весьма больно. Так что стоит предварительно на целевом сайте узнать, какие есть ограничения на длинну юзернейма и парольную политику, дабы можно было соответствующие фильтры выставить.
Проверяйте с каким юзерагентом к вам пришли, это от совсем опытного не спасёт, но так уже лучше чем не проверять вовсе.
Проверяйте IP адреса, есть ли признаки того что они из TOR сети, есть ли они в списках проксей, принадлежат ли они хостерам серверов.
Следите за частотой запросов к вашему отстуку, внезапный рост верный признак того, что затею раскрыли.
Чем больше вы соберёте информации и проверите её, тем лучше будет вам.
very good article, i learned much, thank you 