È possibile utilizzare Greasemonkey per hackerare un sito Web?

6

Ieri il mio sito WordPress è stato violato. Pensavo di aver fatto tutte le cose necessarie per renderlo sicuro. Uno dei miei colleghi ha detto che con Greasemonkey possiamo facilmente hackerare i siti. È vero? Come posso proteggere il mio sito da questo?

    
posta Andrew Lott 06.07.2013 - 13:16
fonte

3 risposte

10

GreaseMonkey (o Tampermonkey per Chrome) è un addon del browser che ti consente di inserire codice JavaScript personalizzato nel browser sul lato client . Hai poco o nessun controllo su di esso.

La buona notizia è che nessuna di queste modifiche influirà sul contenuto sul lato server o sui contenuti per altri utenti. Quindi se ti affidi al server per la tua validazione / verifica / firma / e.t.c., Allora non hai nulla di cui preoccuparti. Se, tuttavia, ci si basa sul codice lato client per fornire la convalida dell'input e altri tipi di restrizioni, si riscontrano problemi più profondi di GreaseMonkey. Quasi tutti i browser moderni contengono funzionalità per consentire la modifica dei contenuti lato client, sono per lo più chiamati strumenti per sviluppatori.

Il mio consiglio è di ottenere una persona competente per valutare la situazione di sicurezza del tuo sito web e per aiutarti a proteggerlo dagli attacchi futuri.

    
risposta data 06.07.2013 - 13:41
fonte
0

Leggendo la tua domanda e la relativa descrizione, posso solo dire che non sono d'accordo con la tua teoria dei colleghi "Greasemonkey". Greasemonkey consente di eseguire solo i javascript del client (per modificare il comportamento dei siti sul lato client o per automatizzare alcune cose). Tuttavia, il javascript lato client non può danneggiare direttamente il tuo server. L'unica cosa che potrei pensare a cosa potrebbe essere utile per Greasemonkey è la forzatura bruta dei moduli di accesso. Questo è tutto.

Potenziali vettori di attacco

  1. Ciò che molto probabilmente è l'origine del tuo problema "è stato violato", è l'uso di password non sicure e - cosa può essere anche peggio - l'uso del nome di accesso "admin", perché lascia aperta solo una ipotesi per un hacker ... la password. Se l'hacker deve indovinare sia il nome che la password, perderà tempo e risorse e molto probabilmente anche interesse nel tentativo di hackerare il tuo sito.

    Quindi un suggerimento da adottare: i buoni nomi di accesso e le password di accesso sono almeno di 8 caratteri e dovrebbe includere una combinazione di lettere, numeri e caratteri di punteggiatura (come punti, parentesi, trattini, ecc.).

    Nel caso in cui ti sia sfuggita la notizia: recentemente c'è stato un diffuso attacco di forza bruta su siti web basati su wordpress che si rivolgevano al file wp_login.php (il tuo modulo di login). Molti siti sono stati violati in questo modo e posso immaginare che il tuo sito Web sia uno di questi (anche se non posso essere sicuro senza dare un'occhiata ai log di accesso al server).

    Il problema era così diffuso da aver persino ottenuto una pagina dedicata sul sito web wordpress ([http://codex.wordpress.org/Brute_Force_Attacks][1]) in cui venivano pubblicate alcune potenziali soluzioni al problema. Potresti voler controllare quella pagina per ulteriori informazioni.

  2. Se non era il tuo modulo di accesso, controlla i tuoi plugin wordpress.

    Non sarebbe la prima volta che un plugin per wordpress introduce un maggiore buco di sicurezza che consente di compromettere anche i copioni più stupidi la tua installazione di wordpress. Basta ricordare (o cercare) quello disastro di sicurezza "timthumb" che ha fatto funzionare la comunità wordpress nei circoli un bel po 'di tempo fa. Eppure, personalmente sospetto che tu sia diventato una vittima del recente attacco di forza bruta menzionato al punto # 1.

Ultimo ma non meno importante, lasciami eco il consiglio dato da @Adnan:

My advice to you is to get a competent individual to assess the security situation of your website, and to help you protect it from future attacks.

Se non sai "cosa" è successo, non puoi impedire che si ripeta. Se non sai tutto su come proteggere un sito Web e un server, ora è giunto il momento di assumere un professionista ...

    
risposta data 07.07.2013 - 07:54
fonte
-1

Ci sono alcune cose da considerare. Con Greasemonkey (GM), gli utenti (lato client) devono accettare l'installazione di uno script GM o scrivere loro stessi uno script GM. Poiché l'utente client ha accesso completo a qualsiasi pagina che il server può scaricare (con le autorizzazioni e l'autenticazione dell'utente), lo script GM può modificare questo contenuto o utilizzare il contenuto in combinazione con altre pagine dello stesso server o altri server non collegati per presentare i dati della pagina web in qualsiasi modo desiderato. Un esempio potrebbe essere un sito immobiliare (RES) che ha i dettagli delle case in vendita e le immagini su pagine diverse. Le pagine RES possono essere acquisite con uno script GM e assemblate in un'unica pagina. Inoltre, la metratura (o metri quadrati) o le informazioni fiscali possono essere estratte dal sito web dell'Assessore e mescolate insieme come una pagina con le informazioni RES. Da solo, questo non è sinistro. Tuttavia, se hai bloccato il clic con il pulsante destro del mouse o disponi di contenuti protetti in blocco nella pagina, un autore di script intelligente potrebbe essere in grado di ignorare le protezioni (come è possibile semplicemente regolando gli elementi nel codice HTML tramite gli strumenti di sviluppo).

Ecco dove possono esserci altri problemi. Molti siti Web non proteggono molto bene i loro asset e le loro API. Se si lasciano le autorizzazioni aperte a più risorse, il writer può essere in grado di decodificare gli script della pagina e acquisire più risorse. Con le API, questa è un'altra storia. Non limitando le API sul sito, uno script GM può effettuare richieste extra alle API. Ad esempio, supponiamo che il nome utente sia parte di un'API. Lo script potrebbe cambiare il nome utente hard-coded e inserire un altro nome utente nello script che estrarrà le informazioni di qualcun altro. Forse il sito vende qualche tipo di servizio per la ricerca e l'utente può effettuare una ricerca solo per località geografiche o interessi ma non per entrambi. Se l'API non è correttamente bloccata, questa ricerca può essere estesa ad entrambi con uno script GM.

Per quanto riguarda gli attacchi di forza bruta, un solo browser non è probabilmente un grande esercito. Se il desiderio è di fare attacchi o anche di colpire il sito molte volte per provare le password, ci sono molti altri strumenti che sono adatti per l'attacco.

Quindi Greasemonkey è lo strumento di un cracker? Sì, ma consente al cliente di vedere solo ciò che è già presente a causa della cattiva sicurezza del sito Web. Se c'è uno script GM installato senza che l'utente sia a conoscenza, lo script può spiare le azioni dell'utente corrente intrappolando password o altre informazioni da pagine che sono familiari allo script.

Ancora una volta, il consiglio dato da @Adnan:

My advice to you is to get a competent individual to assess the security situation of your website, and to help you protect it from future attacks.

    
risposta data 22.01.2014 - 22:13
fonte

Leggi altre domande sui tag