ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Ничего подобного, сам придумал, сам написал! Если ктото до меня это придумал, это не значит, что я у него содрал, приведи пример, откуда можно взять такую статью и на сколько она будет похожа на мою.

Продолжаем рассматривать эту же ситуацию. В некоторой системе (форуме), разрешено включать каким либо образом в сообщения картинки со сторонних серверов.

Каждый раз, когда каждый пользователь открывает html страницу с таким сообщением, его броузер делает запрос на сервер, который может контролироваться хакером, с целью получения тела изображения.

Теперь представим себе ситуацию, что на такой запрос, сервер ответил требованием авторизации. В такой ситуации, броузер запросит у каждого открывающего эту страницу пароль. Более того, надпись в окошке ввода пароля может быть произвольной и задается хакером.

Например, там может быть написано о сбое авторизации, и прочие фразы, создание которых относится уже к социо-инженерии.

Внимание. Есть данные, что броузер IE 6.x, может не запрашивать пароль в такой ситуации. Запрашивает пароль броузер mozilla всех версий, IE 5.x.

Если пользователь введет в этом окошке свои имя и пароль, то эти данные будут отправлены на сервер, контролируемый хакером.

Скрипт, генерирующий этот заголовок и принимающий данные может при повторном запросе (отслеживается по ip), вернуть содержимое изображение, без ответа о неудачной авторизации.

Таким образом, после того, как пользователь введет имя и пароль, страница откроется в обычном виде.