0 added
0 removed
Original
2026-01-01
Modified
2026-03-10
1
<p>Теги: информационная безопасность, content spoofing, подмена содержимого</p>
1
<p>Теги: информационная безопасность, content spoofing, подмена содержимого</p>
2
<p><strong>Техника подмены содержимого</strong>используется при организации атак на клиентскую сторону (Client-side Attacks).<strong>Content Spoofing</strong>заставляет пользователя поверить, что веб-страницы, которые он видит, сгенерированы веб-сервером, хотя на самом деле они передаются из внешнего источника.</p>
2
<p><strong>Техника подмены содержимого</strong>используется при организации атак на клиентскую сторону (Client-side Attacks).<strong>Content Spoofing</strong>заставляет пользователя поверить, что веб-страницы, которые он видит, сгенерированы веб-сервером, хотя на самом деле они передаются из внешнего источника.</p>
3
<h2>Как организуется атака Content Spoofing</h2>
3
<h2>Как организуется атака Content Spoofing</h2>
4
<p>Как известно, некоторые веб-страницы создаются с помощью динамических источников HTML-кода. Например, расположение фрейма (<em><frame src= "https://otus.ru/file.html"></em>) можно передавать в параметре URL (<em>https://otus.ru/page?frame_src=https://otus.ru/file.html</em>). Соответственно,<strong>злоумышленник может изменить</strong>значение параметра с "<em>frame_src</em>" на "<em>frame_src= http://attacker.example/spoof.html</em>". При этом на результирующей странице, в строке адреса вашего веб-браузера, будет отображаться адрес сервера (otus.ru), но в то же самое время на странице вашего браузера будет присутствовать содержимое, загруженное с веб-сервера злоумышленника (attacker.example). И, разумеется, содержимое будет замаскировано под легальный контент.</p>
4
<p>Как известно, некоторые веб-страницы создаются с помощью динамических источников HTML-кода. Например, расположение фрейма (<em><frame src= "https://otus.ru/file.html"></em>) можно передавать в параметре URL (<em>https://otus.ru/page?frame_src=https://otus.ru/file.html</em>). Соответственно,<strong>злоумышленник может изменить</strong>значение параметра с "<em>frame_src</em>" на "<em>frame_src= http://attacker.example/spoof.html</em>". При этом на результирующей странице, в строке адреса вашего веб-браузера, будет отображаться адрес сервера (otus.ru), но в то же самое время на странице вашего браузера будет присутствовать содержимое, загруженное с веб-сервера злоумышленника (attacker.example). И, разумеется, содержимое будет замаскировано под легальный контент.</p>
5
<p>Ссылку, специально созданную для такой атаки, вам могут прислать по e-mail или через мессенджер, она может быть опубликована на доске объявлений либо открыта в браузере посредством межсайтового выполнения сценариев. Когда атакующий спровоцирует вас на переход по этой ссылке, вы просто подумаете, что просматриваете обычные данные с сервера, в то время как часть этих данных будет сгенерированна хакером. В результате произойдёт "дефэйс" сайта на стороне пользователя, ведь содержимое сервера будет загружено с http://attacker.example.</p>
5
<p>Ссылку, специально созданную для такой атаки, вам могут прислать по e-mail или через мессенджер, она может быть опубликована на доске объявлений либо открыта в браузере посредством межсайтового выполнения сценариев. Когда атакующий спровоцирует вас на переход по этой ссылке, вы просто подумаете, что просматриваете обычные данные с сервера, в то время как часть этих данных будет сгенерированна хакером. В результате произойдёт "дефэйс" сайта на стороне пользователя, ведь содержимое сервера будет загружено с http://attacker.example.</p>
6
<p>На практике такие атаки применяются для создания ложных страниц, например, форм ввода пароля. Естественно, они могут принести значительные финансовые потери, если речь идёт о вводе конфиденциальных платёжных данных. Для защиты рекомендуется отказаться от применения фреймов и никогда не передавать в параметрах локальные либо абсолютные пути, к каким бы то ни было файлам.</p>
6
<p>На практике такие атаки применяются для создания ложных страниц, например, форм ввода пароля. Естественно, они могут принести значительные финансовые потери, если речь идёт о вводе конфиденциальных платёжных данных. Для защиты рекомендуется отказаться от применения фреймов и никогда не передавать в параметрах локальные либо абсолютные пути, к каким бы то ни было файлам.</p>
7
<p><em>Если хотите знать больше про безопасность веб-приложений, обратите внимание на<a>соответствующий курс</a>в OTUS. Второй модуль этого курса посвящён безопасности клиентской стороны и включает в себя подробное рассмотрение таких классов уязвимостей, как Content Spoofing, Open Redirect, CSRF, HTML Injection, Cross-Site Scripting.</em></p>
7
<p><em>Если хотите знать больше про безопасность веб-приложений, обратите внимание на<a>соответствующий курс</a>в OTUS. Второй модуль этого курса посвящён безопасности клиентской стороны и включает в себя подробное рассмотрение таких классов уязвимостей, как Content Spoofing, Open Redirect, CSRF, HTML Injection, Cross-Site Scripting.</em></p>
8
8