Najpopularniejsze metody na niekoniecznie legalne generowanie zysków w sieci. Każdy przykład omówiony zostanie zarówno z punktu widzenia developera jak i osoby atakującej.
3. Janusz
• Ma mało pieniędzy, żonę,
trójkę dzieci, hipotekę na
głowie i nie może znaleźć
pracy
• zna się odrobinę na
programowaniu
(frontend + PHP)
• po prostu chce dorobić
• chce dorobić za wszelką
cenę…
13. Przecież na stronie spamera
nikt nic nie kupi…
• a po co ma kupować? cookie stuffing!
• <img src="link partnerski" />
• <iframe src="link partnerski" />
16. • Co to jest sesja?
• Gdzie trzymane są dane sesyjne?
• Jak zabezpieczyć sesję przed kradzieżą?
• Kradzież własnej sesji?
• Czy dane z wnętrza sesji są zaufane?
28. Głosowanie na zdjęcie
<img src="/glosuj.php?foto_id=31337" />
XSRF
Zmiany programisty:
• dodał token anty-xsrf
• zmienił metodę wysyłania danych na POST
29. Głosowanie na zdjęcie
• Na stronie intensywnie wykorzystywane były pliki SWF
• Webmaster stworzył politykę bezpieczeństwa dla Flasha
• Szkoda tylko, że taką…