forum.opennet.ru

Составление сообщения

Исходное сообщение

"ALPACA - новая техника MITM-атак на HTTPS"
Отправлено Sw00p aka Jerom, 09-Июн-21 23:57

> Каким-то образом извлечь данные это понятно как. Запрос из браузера идёт на
> FTP сервер и там сохраняется в виде файла. Дальше файл уже
> можно скачать если это позволено настройками FTP сервера.
с каких пор фпт будет понимать хттп-ешный запрос и еще умудриться это сохранить в виде файла?
я могу только в логах фтп увидеть некорректные команды в виде хттп запроса в которых вероятно и кукисы засветятся
> У меня вопрос как заставить браузер послать нужный запрос. Это выходит надо
> на страницу банка сперва что-то заинжектить.
инжектить не нужно, можно же заманить человека на evil.vom а там уже можно тупо допустим прописать
<img src="https://bank.com"> и браузер инициирует запрос на bank.com:443. Но нам же нужен пейлоад, а для этого нужно всякие post запросы формировать и чтобы браузер это еще и инициировал в контексте bank.com:443. CORS куда смотреть будет?

Исходное сообщение
"ALPACA - новая техника MITM-атак на HTTPS" Отправлено Sw00p aka Jerom, 09-Июн-21 23:57
> Каким-то образом извлечь данные это понятно как. Запрос из браузера идёт на > FTP сервер и там сохраняется в виде файла. Дальше файл уже > можно скачать если это позволено настройками FTP сервера. с каких пор фпт будет понимать хттп-ешный запрос и еще умудриться это сохранить в виде файла? я могу только в логах фтп увидеть некорректные команды в виде хттп запроса в которых вероятно и кукисы засветятся > У меня вопрос как заставить браузер послать нужный запрос. Это выходит надо > на страницу банка сперва что-то заинжектить. инжектить не нужно, можно же заманить человека на evil.vom а там уже можно тупо допустим прописать <img src="https://bank.com"> и браузер инициирует запрос на bank.com:443. Но нам же нужен пейлоад, а для этого нужно всякие post запросы формировать и чтобы браузер это еще и инициировал в контексте bank.com:443. CORS куда смотреть будет?

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Каким-то образом извлечь данные это понятно как. Запрос из браузера идёт на >> FTP сервер и там сохраняется в виде файла. Дальше файл уже >> можно скачать если это позволено настройками FTP сервера. > с каких пор фпт будет понимать хттп-ешный запрос и еще умудриться это > сохранить в виде файла? > я могу только в логах фтп увидеть некорректные команды в виде хттп > запроса в которых вероятно и кукисы засветятся >> У меня вопрос как заставить браузер послать нужный запрос. Это выходит надо >> на страницу банка сперва что-то заинжектить. > инжектить не нужно, можно же заманить человека на evil.vom а там уже > можно тупо допустим прописать > <img src="https://bank.com"> и браузер инициирует запрос на bank.com:443. Но нам же нужен > пейлоад, а для этого нужно всякие post запросы формировать и чтобы > браузер это еще и инициировал в контексте bank.com:443. CORS куда смотреть > будет?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру