Nepreverjanje headerjev pri prijavi

O kakšnem preverjanju headerjev točno govoriš? Daj bodi malo bolj specifičen. To kar omenjaš, je enostaven CSRF na login. Ponavadi je CSRF problem, ko si enkrat prijavljen. Nekdo lahko s tem, ko ti pošlje direkten link do neke akcije in ti to nevede klikneš, sproži tisto v tvojem imenu.

Preberi si: https://www.owasp.org/index.php/Cross-S...

Tukaj je razlika samo v tem, da te prijavi mimo forme za vpis credentialov. Ampak s samim phishingom vse skupaj nima nič.

HTTPS in X.509 certifikati so za preverjanje istovetnosti obeh strani (strežnika in opcijsko tudi klienta). Torej v obeh primerih je game over, ker si že izdal svoje podatke. Razlika je samo v tem, da pri direktni prijavi mogoče nisi tako sumničav kot sicer. Ampak tudi v drugem primeru, lahko neka avtomatika takoj ko dobi dostop, pobere zanimive podatke, te zaklene ven ali kaj podobnega.

Yacked2 je 16. avg 2015 ob 00:41 izjavil:

Navadni phishing ti pobere podatke in te navigira na legit stran. Tole ti pa pobere podatke pred prijavo in te nato poiskuša prijaviti. Med prijavo urinemo en ajax post, ki si zapomni geslo. Nekaj večjih slovenskih forumov je na to varijanto ranlivih. Med drugimi mi je prijavo sprejel tudi PayPa (upisoval sem se z testnimi podatki in dobil wrong password alert)

"Ranljiv" je zgolj in samo uporabnik, ki je nasedel in na lažni strani vpisal svoje podatke.

Ok, lahko bi tudi na prijavni strani poskrbeli za CSRF zaščito, ampak včasih je to najbrž tudi zanalašč tako kot je. Ne vem, predstavljam si npr. mobile app, ki ima implementirane samo najpomembnejše reči in ti za spreminjanje nastavitev odpre webview in te avtomatsko prijavi z redirectom na /settings ali kaj podobnega.

Tudi tvoja varianta je "navaden phishing". Na GitHubu omenjaš DNS spoofing. V primeru MiTM zmožnosti, bi lahko izvedel tudi kaj bolj kreativnega...

Mimogrede, prav se piše "Advanced"