Скрыть объявление
Для безопасных сделок с продавцами рекомендуем пользоваться Гарант сервисом

Sniffer forum user... Метод слежки за пользователями форумов

Тема в разделе "Безопасность при работе в интернете", создана пользователем Eminence, 30/3/14.

  1. Eminence

    Eminence dark-service.xyz
    VIP

    Сообщения:
    1.001
    Симпатии:
    275
    Приветствую всех, кто решил прочитать эту статью, не взирая на ваши мотивы. [​IMG]
    Немного введения.
    Статья посвящена примеру модификации веб-снифера, аналогичного сниферу s.netsec.ru, для получения ip пользователей форумов в привязке к их никам. Будет немного поясняющих оговорок, для тех кто возможно не в курсе, т.к. Статья ориентировала на всех, кого она может заинтересовать. Пишу в первый раз, по этому прошу ругать, но исключительно с элементами конструктивной критики.

    Немного вводной информации
    Многие из вас, знакомы с web-снифером, отличным примером которого является небезизвестный, и некогда работающий s.netsec.ru (у меня не открывается). Коротко расскажу о принципе его действия, для тех кто с ним не знаком. Суть его работы, заключается в следующем:
    На вашем сайте создается файл(скрипит php), с расширением любого известного графического файла, (jpg, gif, png, etc....). Web-сервер настраиваем на восприятие этого файла как php и записываем в файл не хитрый код. Файл/скрипт сохраняет данные о пользователе запросившем его (user-agent, ip, browser, referer, x-http-forwarded, query_string) и сохраняет в файл или SQL базу. Затем выдает пользователю картинку. Тем самым пользователь считает, что обратился к бинарному файлу, а не к скрипту.

    Такие сниферы , нашли широкое применение для эффективной эксплуатации active-XSS. Скрипту передавались cookie жертвы в параметрах (image.jpg?param_str).

    Активный сниффер
    Итак перейдем к основной части, она будет короткой.
    На многих сайтах, но в первую очередь на форумах(т.к. Реч идет о них), отображаются ники пользователей просматривающих данную тему. За частую, одну и ту же тему, одновременно просматривает не большое количество авторизованных пользователей, примерно от 1 до 5. При обращении к нашему сниферу, необходимо проверить от куда обратился пользователь (REFFERER), проверяем регулярные выражением тот ли форум который нам нужен (можно создать массив с необходимыми форумами), и загружаем текст страницы из referer. Т.к. пользователи выводятся в отдельном блоке, а если таковых нет, то не выводится вообще, ищем в коде страницы блок с пользователями. Если он присутствует, то регулярным выражением получаем массив с их никами, и сохраняем в базу.

    Итог
    В итоге мы имеем ip адрес того, кто просматривает тему с нашей картинкой, а так же ники пользователей занимающихся тем же. Определить, кому какой ip принадлежит, уже не составляет особого труда, это будет пищей для размышлений.



    P.S. Надеюсь статья окажется для кого то полезной, может кто то по новой взглянет на возможности таких сниферов...
     
    #1 Eminence, 30/3/14
(Вы должны войти или зарегистрироваться, чтобы разместить сообщение.)

Поделиться этой страницей