dobře pudeme asi na praktické ukázky těch typů soutěží na internetu existuje celá řada patrně
ste se setkali s nějakýma hlasovat škám kdy máte prostě nějaký soutěže kam třeba a
plujete fotografi a potom čekáte až vám návštěvníci toho webů
dají co nejvíc hlasů
a
ti o
soutěžící který prostě ty hlasy získají
tak si vodnáší ty ceny
potom se můžete setkat třeba
s flash ovými rámy
kde zase úkolem získat nejlepší skór f té hře
no a kdo prostě to skóre získá vyhrávat
další typy soutěží jsou například ta
nějaký vyplňování dotazníku a je toho slosování a tou štajgr nebudu mít těch praktických ukázkách
ale řekneme si že ani tyto soutěže
není problém s manipulovat
prosím vás napadá ještě nějakej typ soutěží já si myslím že to co sem řekl
jsou asi ty nejčastější
tak a
přistoupíme tedy první soutěží kdy máme soutěžilo nejhezčí škatuli
a nevím co ste čekali že tam bude sou tam opravdu škatule
tak a
ochrana kterou zvolili a ty pořadatelé této soutěži
tak je vidět že
vlastně při na vás budu chtít přidat druhy h se napíše mi to mezi jste
hlasovala prostě už hlasovat nemůžu
a
každá ta soutěž je nějakým způsobem ošetřena určitě se nesetkáte nesoutěží vy tam budete klikat
vodafonu vás to prostě bude pouštět tak by to asi nefungovalo a ty pořadatelé si
to uvědomují takže nějaké ty ochrany zavádí
a této soutěži tu a nejhezčí škatuli
tak použili ty pořadatelé ochranu pomocí tím
a její jestli já předpokládám že asi kutí dneska už není neznámý pojem že budete
vědět o co se jedná ve chvíli kdy odešleme hlas
ten se započítá na straně serveru na server nám pošleme nějakou t p hlavičku set
kupí
a nastaví na nultý který ten náš prohlížeč
fi uloží informaci že už proběhlo hlasování
když budeme chtít hlasovat podruhé tak společně s tím hlasem odesíláme tyto kutí který říká
tomu server u už sme hlasovali takže ten server si to zkontroluje do dostal pokuk
í
oukej už hlasování proběhlo
takže žádný takový
tak jí jak to zmanipulovat v tomto případě to asi opravdu triviální a jasná záležitost
ukryje uložený na straně to uživatele takže tomu uživateli bude stačit když prostě toku písma
že
tu informaci o tom že už bylo hlasovali
takže já si tady otevřu
nějakej kluk i manažer
vidím že tam na doméně soutěže c z jinak filtru doménu nehledejte tam byste našli
něco jinýho motor lokálně pojmenovaný soutěže c z takže
a to ve mně nenajdete
nebo najdete tam skutečné soutěže takže můžete pokračovat jako další krok
tak já tady
some až u
to kutí
a budu hlasovat takže tady máme pět hlasů a už tam mám ještě z dallasu
znova to nejde protože zase máme kupní zapsáno takže ho smažeme
a můžeme při a další hlas
takže
takle jednoduchý to je abysme nemuseli toku ty pro každý smazat za hlasovat
tak proč rovnou kluky nevypnou tatína ten prohlížeči vůbec nemůže uložit tu informaci o tom
že už bylo hlasová
já tady vypnu podporu
tím zakážu
tak a můžu hlasovat jako život
hlasy nabíhají
takže
naprosto jednoduchá záležitost a hlav it soutěži tímdle způsobem dokážete zmanipulovat
pokud to sou pořadatele
trošku
znalejší zatím to teda dojde že pomocí to u tý by to nešlo
a tak udělají třeba soutěžilo nevěstě kočku tak co tam bude
samozřejmě že kočky
tomto případě máme kulky zakázaným
a vyzkoušíme hlasovat takže přidali jsme jeden hlas
tak další hlavní dat nemůžu
a já to proti vyzkouším zapnou
a nemáte s tím nic společného teď už teda nehrajeme nakoupíte ochrana tam bude udělaná
nějaký na a
po uši ne na straně toho prohlížeče ale na straně toho server
a bude se tam kontrolovat a pravděpodobně í p adresáře které ten hlas přichází tak
je ten server prostě si vede databázi ní p adres ze kterých se hlasovalo a
jakmile prostě ta í p adresa je vidět že už hlasovala tak podruhý nemůže
a tohleto je občas problém když máme nějaký velký sítě
kdy všechny vystupují boty jednou veřejnou i p adresou
tak si prostě dva hlasů jenom jeden člověk strašně těch a nikdo jinej už nemůže
ale
poblíž
jak to
jak to obejít
a tudletu ochranu
tak možná vás napadne existujou nějaké pro při servery na internetu veřejně dostup některý dokážou
přesměrovat tu vaši komunikaci že vy odešlete ten požadavek pro při serveru
a ten pro při server teprve na ten webový server
vy si můžete tu adresu toho pro tři server ú libovolně měnit a
na nějaký existující prostě adresy těch pro při server
každopádně takle budete asi schopni uděláte nějakých
stovky hlasů třeba když budete mít nějakej lobista se stovkou těch pro tři server ú
ale těžko tak budete dělat tisíce desetitisíce hlasu
protože tolik praxi server u prostě veřejné jich na tom internetu nenajdete
tak
druhá věci ještě ty pro při servery když přes ně směřujete tu komunikaci tak oni
většinou přidávají do té komunikace t p hlavičku x forwarder for
která říká
pro jakou p adresu oni vlastně to komunikaci směřují
takže že původně že to je z mojí adresy na to pro chci pak na
ten webový server a ten webový server vědí teda people adresu t pro syny a
vidí i
hlavičce covered for mojí t p adresu
no a právě proto aby nebylo možné takle používat ty pro při servery tak se
na to webovým server u často kontroluje
právě ta hlavička x forwarder for takže já když pojedu přes víc praxi server utekli
xor dva default budu mít stále stejný a prostě blíže hlasů pod do nekonečna já
tak virových čem je problém
ta hlavička recovered for
teda úplně vpohodě podvrhnout
my si můžeme napsat jakou chcem
takže
a zase tady když vezmu nějaký do plně
tak dám tady hlavičkový curvature z funktoru podvrhovat a dám tak jako lokální p adresu
sto dvacet sedum nula jedna ješte stuff pro běh hlasovém takto s medituju
na si tam tady konec
se jí
rozhlasová
takže všud máme druhý hlas
změníme
obsah
té hlavičky
trojku
tak a zase krásně přidáváme hlasy i když to kontroluje tu víte adresu problém je
tam vtom že to kontroluje tu hlavičku x forvard for
a samozřejmě zase nebudeme to dělat takle že dycky změní make adresu klikneme jednoduchej skripta
nám tam odešle těch tisíce požadavků
prostě během minuty takže
další možnost prostě jak stoupej
tak přesuneme se na
soutěž největší žádnou
taky určitě jste nečekali nic jinýho
tak jako kontrolu máme tady zkoušíme
hlasovat jeden vás druhý hlas už nejde vyzkoušíme změnit hlavičku
forward fórem
prostě to nejde
tak tady už nám opravdu
provozovatele hlídají
to víte adresu skutečnou ze které pochází ten požadavek
a tu adresu tam už máme opravdu možnosti jedině že najdeme opravdu nějaké transparentní pro
při které nepředávají tu hlavičku tvorové for
a uděláme s nějakej seznam těch pro při na lexém říkal dokážeme tak získat maximálně
stovky hlasu
tak
zase napadá pouštět někoho jak by se tahle ta soutěž dala obojí
tak a
si tady vezmu
chvíli tužku budu se tady snažit trošku kreslit uděláme to pomocí útoků krosany trik šatstvo
viděli
a ten útok probíhá tak že vlastně to hlasování
na ní
vlastně
my když klikneme odesíláme ten hlas a nejčastěji pomocí nějakého pět požadavků
to znamená že vidím f udolá adrese na nějaký ty soutěže soutěž potom ta máme
proměnnou dvou ta rovná se dvě nebo tři o proud který pro produkty možností hlasujeme
co se stane když třeba sme vlastníky nějakého webů kde máme návštěvnost řekněme
tisíce uživatelů denně
a my na ten náš v
uložíme
na tom ale tak t m g
se
tak t p
soutěže
čili když se ze ta
a dáme tady vše budeme hlasovat to pro volbu dva
a každý kdo navští ten náš v
tak vlastně jeho prohlížet se bude snažit načíst obrázek a odešle ten request na stranu
toho server ú a ten uživatel nevědomky nám tam vlastně za hlasuje
pokud je uživatelům to máme opravdu tisíce denně tak nám tady budou přibývat tisíce hlasů
denně a ty uživatele vůbec neví o tom že hlasů
a
opravdu každej hlas nezmíníte adresy protože prostě je to odesílají různí lidé
a neví o tom
ta ochrana
tady by se dala nasadit třeba hlídání hlavičky referrer která říká z jaké stránky to
přichází
takže kdyby to bylo na jakým
webu vlastně ten obrázek jako c z tak té hlavičce refer by na tom serveru
bylo vidět je to přichází z jako c a nestih soutěží
ta hlavička čáslav se vyskytne nějakej exploit pro prohlížeče a d podvrhnout takže i s
tím by se dalo trošku pohrát
ní
možná nejdůležitější že se dá udělat aby ta hlavička se ne odesílal a
takže
když potom tu hlavičku neodešle tak ten server to většinou vezme
protože ne všichni jsou schopní tu hlavičku reserva vysílat
oni některé hraniční prvky na té síti
tu hlavičku vyhazuju protože může být nebezpečná
takže není problém dělat aby ty uživatele vlastně hlasovali best hlavičky refer
třeba tím že ta naše stránka bude t p s
načtená přes ten protokol zabezpečen a tam podle nějakých těch
ref c čeká to nesmí odesílatel
ten refer
tak a
možnost jak to ošetřit správně
vidíme další soutěživou nejhezčí pozadí
a tady je
sem tam měl nějaké hlas
a tady opět to prostě je nějaká kontrola ale druhá věc která tu je na
nebudem moc dobře vědět protože to tady dole vtom ú do
tak
každá ta
to na každý ten hlas vlastně má vždycky ještě nějaký parametr nejenom to vote vetřela
dva takže hlasů pro volbu dva
ale má tady ještě parametr ty k to a nějaký jedinečný identifikátor který pokaždé když
bude zvyšovat tu stránku
tak ten ty pět se bude měnit
je to vlastně ochrana proti těm útokům typu cross aidy křeslo jerry kdy mi když
tomu uživateli generujeme tu stránku
tak si uložíme do databáze ještě že sme mu dali takovej a takový ty ke
a že sme to dali tomu konkrétnímu uživateli z určitou líp adresou
a ve chvíli potom ten uživatel za hlasuje tak se to podívá jestli takový ty
ke dnu byl vystavenej a teprve když se zjistí že ano tak ten hlas je
platnej ve chvíli kdy by chtěl útočník podvrhne ten obrázek tak on si může vygenerovat
tykat pro sebe
ale ten už nebude platnej pro ty uživatele zimní chyba adres pro ten ty který
je
sloučeny osmi spojený s tou b adresou
komu to bylo vystaveno
takže tím můžeme potom krásně tu soutěž ošetřit
pak vás napadá štét někoho jak by se to dalo obejít i ve chvíli to
máme ty ke ty
tak i když tam máme ty ke ty je tak stále ty provozovatelé těch nebo
pořadatele těch soutěží
nemají vyhráno
protože při
prosím
ne
jo jako pokud bysme
dekom přemýšlim javascriptem my bysme mohli uživatel navštíví naší stránku
to mi musela bejt zranitelnost krasavic skipping na té doméně aby my sme byli schopni
sto uranu přečíst týkat a odeslat to
pod věděla skytne může přistupovat do jiných domén
takže musilovi tam i zranitelnost krasavic lifting souš na osumdesát procent bude
a na ty domény
no a najít ve kréta zranitelnost kreslit skripty není je docela umění
tak
vy to uděláme trošičku jinak uděláme to pomocí klíče tím
jak by jak by takový útok vypadal
tak
já tady zkusím vytvořit nějakou webovou stránku
vlastně útočníci tedy dělá webovou stránku a udělá to že
tu konkrétní stránku f s tou soutěží načte do toho i se jim práva
tak já tady zalže nějakej
frame
vezmu tu adresu s tou soutěží
kdo
takže do stránku s tou soutěží sme si načetli do rámu
já to možná trošku zvětším
takže dáme tady k tomu ram unk nějaké styly
čím
tak my můžeme ten rám udělat průhledné
takže
řekněme
je nastavíme další
vlastnost to asi ty
já to udělám deko poloprůhledná tak žádná celá pět
jako ne ten nám taky poloprůhledná i
a tam kam chci aby ten uživatel kliknout tak tam vložím nějakej prvek třeba tlačítko
klikni sem
takže
tak zase
tom tlačítku dán nějaké styly
dámu absolutní pozicování abych si to tlačítko dál kam potřebuju
jo nechám tam to
že tady je vidět to tlačítko sme si dali tady let ten a
ten r a můžu děláme úplně průhledný
takže opacity nastavím
na nula
tak
samozřejmě se to dá víš taková daleko líp by to bylo
prošků
dneska dáváme něco zadarmo vstup tady
jo rozešle na třeba ímejlem odkaz na to nebo dáme ten odkaz někam do fóra
je to jedno
a uživatel dyž přejde na tu stránku a klikne na to tlačítko
tak on nedělá nic jinýho
než že klika na ten obrázek a dává hlas if té soutěži
takže tentokrát vlastně vtom rámu tomu uživateli byl vystaven ten tykat pro něho
tam vlastně klikne odesílá to on takže
v tomhle případě ušila
ta webová aplikace nemám moc šancí
jak vlastně poznat že de o nějakej podvržené já vás
tam potom že obrana spočívá jenom v tom že my musíme zablokovat aplikaci ta běžný
uživatel mohl načítat do ram to znamená že třeba přidáme a t p hlavičku
x frame ovšem s kde vlastně zakážeme to načítání from
tím pádem to
se do toho rand aplikace nepodaří načíst a
ošetříme to tím
tak i já se přesunu na
další
další
jsou těžká teďko nejsem na internetu takže
takže tady s tady měli být vlajky a like what niob phased on table přice
zakazuje používat jelení platny provo nějaké soutěže
a hle stejně většina pořadatelů prostě ty soutěže zakládá na těch like what
tadleta soutěž se dá obejít a pomocí toho klid checkingu úplně stejně protože ty jo
mají platný nejsou nic jinýho nešli frame i
a díky tomu
že ty ale dva ty se načítají size buku prostě a perfektní to chce aby
to bylo možný načítat dodám tak a tam žádná ta ochranná pomocí
i celý mokřin s není a my si kdykoliv můžeme tam y ta ten vzít
dát tu ránu vlastně každý s tyhle dva tu data který se dejme nějaký nese
céčko vlastně ten zdroj a vám stačí že vy prostě vezmete ten zdroj
dáte vona tu svoji stránku do ram uděláte to průhledný
klidně není problém to quit jakým udělat že ten rám je třeba jenom pět krát
pět pixlů
a je dynamicky že se vám drive furt pod nižší
takže vy můžete
klikat kam chcete anglicky kliknete prostě do toho rámu kam chcete utočí
takže ten
pokud je ta soutěž na základě těch like what no tak opět pomocí k jakýmu
žádný problém
a tady vpodstatě u žádná ochrání neexistuje protože flash book to umožňuje načítat do ram
tak prostě jako pořadatelé se tomu nebráním
tak já bych opustil vyhlas ovečky protože času a bývá
budeme se podíváte na ty selešová tehdy
klešťové kdy jsou opět a
poměrně
častým typem soutěží
tak já si tady zahraju
to už nechám upadat ten jeden blok mi bude na vítězství stačí
tak
ve chvíli kdy sme do kde ta hra vlastně funguje ta nefunguje na server od
a funguje u nás prohlížeči
my sme nahráli nějaké skóre a teď přichází čas kdy mi to skore musíme odeslat
na ten webový server
takže proč to nezmanipulovat vlastně to odesílání
takže já tady když
román ke konci zapnu nějaký
lokální pro si
vlastně ten pro k si nástrojů udělá to že se postaví mezi ten prohlížeč a
webový server tak si nám to stoupne doprostřed a bude nám to vlastně stopovat ty
požadavky které vlastně ten prohlížet odešle
když je můžeme upravit a teprve potom a přepošlem dál
na té webový server
takže já tady
zapnu to zachytávání
tak odešlu skóre
jo
takže to by analog a
tady někde cetu pro lokál s nepoužívá
tak omlouvám se za komplikace
tím že to blíží na lokál s
věříte teďkon
z je c
dobře tak
já si já si tedy na
odpustím nebo já zkusím byl ještě jednu věc a to vám tady přes jinej nástroj
tajdle ten doplněk
tak ještě jednou si zahraju protože mě to baví
ale mohl být opadat rychlejší takže počkáme
a tomu sitová stahování tyto doufám fungl bude
tak z nějakého důvodu
ani toto nechce teďko
se na slovo
dobře
nedá se nic jo
ne tři mi to
takže a poté se nám čas blíží já dyžtak odpoledne bude na todle téma ještě
workshop poklici do budete chtít všechno sem i vyzkoušet
tak a věřim že tam zprovozníme kdy věci který jede konzolový
je co sem měl teďkons plán uděláte vlastně zastavit to odesílání skóre přepíšete skóre odešlete
na ten server
a krásně to projde
u těch ostatních r když tak na tom hošku workshopů si ukážeme tak tam se
dělají ochranným těch plyšových r že vy
nahrajete nějaké skóre
napíšete vlastně nějakej to svoje kontaktní údaje třeba odešlete to na ten server
a tak zašová aplikace udělá to že vezme to skóre přidá k tomu nějakou sůl
dělá s toho hash a na ten server vodesílá nejenom skóre ale i ten hash
kontrolní
na straně toho server ú se potom zase vezme to skóre přidělá se k tomu
ta sůl završuje se to porovnají se ty naše jestli sedí nebo n
ve chvíli kdy ty ještě nesedí tak jasný že někdo manipuloval
s tím skórem
todleto je nejčastější způsob jak je devadesát pět procent těch křečových soutěží ochráněno problém je
vtom že flash není něco co by se nedalo de kompilovat
to prostě
co ještě kompiluje ne úplně vpohodě já vyzkouším třeba tajidletu hru
když si zobrazím zdroje které stránky najdu si tady kde je ta hra
uložena
tak tady mám
přímej odkaz na tu hru použiju nějaký nástroj
na tu rekompilaci
a vlastně získáme
bezproblémů zdrojů bytekód toho flash kde bude vlastně krásně napsaných čeho vznikáte nádrž
tak už máme zdroj adsl eště
vyhledáme si
jejichž
krásně bysme tady potom viděli
že ten ještě nějaká m d pět k ze slova flash tři plus nějaké to
nastane skóre
a tím pádem to teďkon sme schopný zmanipulovat úplně stejně jako lišta ten vůbec není
protože my si řekneme chceme skóre milion tak vezmeme milion při dané slovo flash tři
přidáme k tomu ten milion plamene pětku
a vtom request u co odesíláme na ten server změníme nejenom skóre ale i ten
náš a server nemá možnost
jak poznat že vlastně tam došlo k nějaké manipulaci
takže to je nejčastější způsob jak jsou chráněny ty klešťové soutěže
pak a
já už to tedy pomalu začnu končit a
říkám ne všechno se povedlo ne všechno sme stihli výstava zradu vidím eště na tom
workshopů jaksi dost praxi všechno můžete vyzkoušet
a s cílem má této přednášky teda bylo poukázat na to že pokud pořadatelé soutěží
pořádali někdo z vás soutěž na internetu
a
měli ste to ošetřený proti všemu nebo to bylo něco jinýho jinej ty soutěže
jinýho
tak
právě že a on je strašnej problém že na tomletom si ta firma ten pořadatel
můžete rovnou docela vostudu
je tím že to nezvládne tu soutěž že najednou se tam začnou ukazovat takový nesmyslný
skóre prostě i je jasný že reálně možný nahrát tisíc bodů a tam mají soutěžící
milióny prostě
ale nebojte voni datový stejně pošlou protože oni nechtějí bejt a hlupáky že něco zvorali
nebo to většinou zadávají ty soutěže ještě je prostě externím firmám jako zařiďte nám soutěž
a samozřejmě ta externí firma nepřiznám jsme vám to zvorali
takže všichni se to snaží ututlat
když to jsou naprosto nesmyslný věci to skóre co tam získáte tak prostě jihu vám
pošlou a
ticho po pěšině
a
to bych vám pošlou pokud je to poctila firma jo stejně jako sou nepoctiví hráči
tak sou ji nepoctiví firmy a
vy třeba se dostanete i k tabulkám těch vítězů víte že ste tam prostě první
hodina napíšu nebyl ste první ho taky na
takže je to
ne vždy se dočkáte těch výher které vlastně z té soutěži
jsou nabízeny
no a co se teda teďka druhýho důvodů téhle přednášky tak asi je zřejmý že
normální lidi prostě ty webový soutěže ne vyhrávají když muž také neštěstím hodně
a my sme teďkon dorovnali ty šance
takže se ten když je vy máte šanci chci nějakou tu výhodu
tak jo tak já bych to teda ukončil tak jasná to pro vás bylo nějak
přínosný a děkuju vám za pozornost