Jak kraść pieniądze w sieci? - przegląd technik używanych przez cyberprzestępców
Download as PPTX, PDF0 likes583 views
Najpopularniejsze metody na niekoniecznie legalne generowanie zysków w sieci. Każdy przykład omówiony zostanie zarówno z punktu widzenia developera jak i osoby atakującej.
![Aby zarabiać w PP, musimy
posiadać popularną stronę WWW…
Sprawmy więc, aby stała się popularna ]:>](https://image.slidesharecdn.com/jakkrascpieniadzewsieci-ppt-160314080853/85/Jak-krasc-pieniadze-w-sieci-przeglad-technik-uzywanych-przez-cyberprzestepcow-6-320.jpg)
![Tak, to już jest koniec :]](https://image.slidesharecdn.com/jakkrascpieniadzewsieci-ppt-160314080853/85/Jak-krasc-pieniadze-w-sieci-przeglad-technik-uzywanych-przez-cyberprzestepcow-36-320.jpg)
![[Lithuania] I am the cavalry](https://cdn.slidesharecdn.com/ss_thumbnails/thecavalryisus-owaspeeeoct2015v2-151012122331-lva1-app6892-151026110950-lva1-app6891-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Web Apps vs Blockchain dApps](https://cdn.slidesharecdn.com/ss_thumbnails/owasppolandday2019-191023180526-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Threat modeling at scale](https://cdn.slidesharecdn.com/ss_thumbnails/letsgetevil-threatmodellingatscale-191022195630-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Life after pentest](https://cdn.slidesharecdn.com/ss_thumbnails/presentationowaspday2019-191022184132-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] .NET Core Security](https://cdn.slidesharecdn.com/ss_thumbnails/dotnetcoresecurity1-191022061850-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Top 10 Security Facts of 2020](https://cdn.slidesharecdn.com/ss_thumbnails/radwaretop10securityfacts2020-pgee-oct19-191022061726-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Governance as a missing part of IT security architecture](https://cdn.slidesharecdn.com/ss_thumbnails/owaspday-final-191021172307-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Storm Busters: Auditing & Securing AWS Infrastructure](https://cdn.slidesharecdn.com/ss_thumbnails/aws-191021172038-thumbnail.jpg?width=560&fit=bounds)
More Related Content
Viewers also liked (15)
More from OWASP (20)
![[OPD 2019] Side-Channels on the Web:
Attacks and Defenses](https://cdn.slidesharecdn.com/ss_thumbnails/owasp-poland-day-tom-van-goethem-191021171917-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] AST Platform and the importance of multi-layered application secu...](https://cdn.slidesharecdn.com/ss_thumbnails/uriaankorionastplatformandtheimportanceofmultilayeredapplicationsecuritytesting-191021171736-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Inter-application vulnerabilities](https://cdn.slidesharecdn.com/ss_thumbnails/interapplicationvulnerabilities-mszydlowski-191021171552-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Automated Defense with Serverless computing](https://cdn.slidesharecdn.com/ss_thumbnails/serverlessdefense-191021171401-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Advanced Data Analysis in RegSOC](https://cdn.slidesharecdn.com/ss_thumbnails/owasppolandday2019regsoc-191021171246-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Attacking JWT tokens](https://cdn.slidesharecdn.com/ss_thumbnails/attackingjwttokens-191021171156-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Rumpkernels meet fuzzing](https://cdn.slidesharecdn.com/ss_thumbnails/prezo-191021170805-thumbnail.jpg?width=560&fit=bounds)
![[OPD 2019] Trusted types and the end of DOM XSS](https://cdn.slidesharecdn.com/ss_thumbnails/trustedtypesandtheendofdomxss-owasppolandday-191021165847-thumbnail.jpg?width=560&fit=bounds)
![[Wroclaw #9] The purge - dealing with secrets in Opera Software](https://cdn.slidesharecdn.com/ss_thumbnails/presentation3-181117173825-thumbnail.jpg?width=560&fit=bounds)
![[Wroclaw #9] To be or Not To Be - Threat Modeling in Security World](https://cdn.slidesharecdn.com/ss_thumbnails/tobeornottobe-threatmodelinginsecurityworld-181116142619-thumbnail.jpg?width=560&fit=bounds)
Jak kraść pieniądze w sieci? - przegląd technik używanych przez cyberprzestępców
- 1. Jak kraść pieniądze w sieci? wykład nieetyczny ;)
- 3. Janusz • Ma mało pieniędzy, żonę, trójkę dzieci, hipotekę na głowie i nie może znaleźć pracy • zna się odrobinę na programowaniu (frontend + PHP) • po prostu chce dorobić • chce dorobić za wszelką cenę…
- 4. j4n00.sh
- 5. Może zarobię trochę kasy w programach partnerskich? Dostaniemy pieniądze za dokonane zakupy
- 6. Aby zarabiać w PP, musimy posiadać popularną stronę WWW… Sprawmy więc, aby stała się popularna ]:>
- 7. Typowy spam mailowy Minusy: • potrzebujemy serwera do wysyłki • szybko trafimy na czarną listę (RBL) • a kto dziś nie ma filtrów antyspamowych?
- 8. Użyjmy cudzych serwerów :) • zwrotki mailowe • formularze kontaktowe • dziurawe skrypty PHP SPF + PTR + DKIM
- 9. Spam na blogach • Komentarze • Statystyki GA / serwera • Formularz kontaktowy • Trackbacki
- 12. Strona powinna się rozprzestrzeniać ‘wirusowo’ • automatyczny like • automatyczny share (niczym captcha)
- 13. Przecież na stronie spamera nikt nic nie kupi… • a po co ma kupować? cookie stuffing! • <img src=/slideshow/jak-kra-pienidze-w-sieci-przegld-technik-uywanych-przez-cyberprzestpcw/59518036/"link partnerski" /> • <iframe src=/slideshow/jak-kra-pienidze-w-sieci-przegld-technik-uywanych-przez-cyberprzestpcw/59518036/"link partnerski" />
- 14. Janusz postanowił handlować przedmiotami w grze online
- 15. Potrzebujemy przejąć sesję i wykonać kilka operacji w grze
- 16. • Co to jest sesja? • Gdzie trzymane są dane sesyjne? • Jak zabezpieczyć sesję przed kradzieżą? • Kradzież własnej sesji? • Czy dane z wnętrza sesji są zaufane?
- 17. Janusz chciał wygrać kasę w konkursie…
- 18. Do konkursu można było wysłać własne zdjęcie!
- 19. Jak sprawdzić poprawność nadesłanej fotki? • poprawne rozszerzenie? • dozwolony content-type? • ma odpowiednie wymiary? Jedyna sensowna metoda? wygenerowanie obrazka na nowo!
- 20. A co jeśli serwis nie posiada uploadu? to wyślij plik do wyszukiwarki ;)
- 21. Głosowanie na zdjęcie /search.php?q=koty Zabezpieczenia: • długość $q > 3 znaki • htmlspecialchars($q) • mysql_real_escape_string($q)
- 22. Głosowanie na zdjęcie <img src=/slideshow/jak-kra-pienidze-w-sieci-przegld-technik-uywanych-przez-cyberprzestpcw/59518036/"/search.php?q=%%%%" /> sprawdzaj zakres podawanych znaków…
- 25. Głosowanie na zdjęcie <p onmouseover="exploit-here">Thx!</p>
- 26. Głosowanie na zdjęcie Zalecenia: • nie przyjmujemy kodu HTML od usera • strip_tags() + htmlspecialchars() • używamy predefiniowanych komunikatów
- 28. Głosowanie na zdjęcie <img src=/slideshow/jak-kra-pienidze-w-sieci-przegld-technik-uywanych-przez-cyberprzestpcw/59518036/"/glosuj.php?foto_id=31337" /> XSRF Zmiany programisty: • dodał token anty-xsrf • zmienił metodę wysyłania danych na POST
- 29. Głosowanie na zdjęcie • Na stronie intensywnie wykorzystywane były pliki SWF • Webmaster stworzył politykę bezpieczeństwa dla Flasha • Szkoda tylko, że taką…
- 30. Głosowanie na zdjęcie System ładowania podstron nie był zbyt ambitny…
- 31. Głosowanie na zdjęcie System ładowania podstron nie był zbyt ambitny… plik.php?page=../../../../../dowolny.plik%00
- 32. A może przerobić odwiedzających w botnet? Prosta sztuczka wymuszająca instalację softu
- 33. Oszustwa SMS-owe • Strona z ofertą jest weryfikowana przez pośrednika • Wrzucanie strony do iframe + przycinanie jej • Wymuszanie wysłania SMSa
- 34. Janusz się obłowił, a my musimy kończyć…
- 35. UNKNOW www: UW-TEAM.ORG twitter: @uwteam wykop: imlmpe youtube: uwteamorg e-mail: unknow@uw-team.org
- 36. Tak, to już jest koniec :]
Editor's Notes
- #8: RBL = Real-time Blackhole List
- #9: DKIM = Domain Key Identified Mail
- #11: RBL = Real-time Blackhole List
- #12: TrackBacks, contact forms, comments, captcha people!
- #18: w ankiecie trzeba zaznaczyćcheckboxa przy wybranej fotce i kliknąć na ZAGŁOSUJ!
- #29: samowykopujący sięwpis usuwanie wpisów blogera
- #33: RBL = Real-time Blackhole List