dobře pudeme asi na praktické ukázky těch typů soutěží na internetu existuje celá řada patrně

ste se setkali s nějakýma hlasovat škám kdy máte prostě nějaký soutěže kam třeba a

plujete fotografi a potom čekáte až vám návštěvníci toho webů

dají co nejvíc hlasů

a

ti o

soutěžící který prostě ty hlasy získají

tak si vodnáší ty ceny

potom se můžete setkat třeba

s flash ovými rámy

kde zase úkolem získat nejlepší skór f té hře

no a kdo prostě to skóre získá vyhrávat

další typy soutěží jsou například ta

nějaký vyplňování dotazníku a je toho slosování a tou štajgr nebudu mít těch praktických ukázkách

ale řekneme si že ani tyto soutěže

není problém s manipulovat

prosím vás napadá ještě nějakej typ soutěží já si myslím že to co sem řekl

jsou asi ty nejčastější

tak a

přistoupíme tedy první soutěží kdy máme soutěžilo nejhezčí škatuli

a nevím co ste čekali že tam bude sou tam opravdu škatule

tak a

ochrana kterou zvolili a ty pořadatelé této soutěži

tak je vidět že

vlastně při na vás budu chtít přidat druhy h se napíše mi to mezi jste

hlasovala prostě už hlasovat nemůžu

a

každá ta soutěž je nějakým způsobem ošetřena určitě se nesetkáte nesoutěží vy tam budete klikat

vodafonu vás to prostě bude pouštět tak by to asi nefungovalo a ty pořadatelé si

to uvědomují takže nějaké ty ochrany zavádí

a této soutěži tu a nejhezčí škatuli

tak použili ty pořadatelé ochranu pomocí tím

a její jestli já předpokládám že asi kutí dneska už není neznámý pojem že budete

vědět o co se jedná ve chvíli kdy odešleme hlas

ten se započítá na straně serveru na server nám pošleme nějakou t p hlavičku set

kupí

a nastaví na nultý který ten náš prohlížeč

fi uloží informaci že už proběhlo hlasování

když budeme chtít hlasovat podruhé tak společně s tím hlasem odesíláme tyto kutí který říká

tomu server u už sme hlasovali takže ten server si to zkontroluje do dostal pokuk

í

oukej už hlasování proběhlo

takže žádný takový

tak jí jak to zmanipulovat v tomto případě to asi opravdu triviální a jasná záležitost

ukryje uložený na straně to uživatele takže tomu uživateli bude stačit když prostě toku písma

že

tu informaci o tom že už bylo hlasovali

takže já si tady otevřu

nějakej kluk i manažer

vidím že tam na doméně soutěže c z jinak filtru doménu nehledejte tam byste našli

něco jinýho motor lokálně pojmenovaný soutěže c z takže

a to ve mně nenajdete

nebo najdete tam skutečné soutěže takže můžete pokračovat jako další krok

tak já tady

some až u

to kutí

a budu hlasovat takže tady máme pět hlasů a už tam mám ještě z dallasu

znova to nejde protože zase máme kupní zapsáno takže ho smažeme

a můžeme při a další hlas

takže

takle jednoduchý to je abysme nemuseli toku ty pro každý smazat za hlasovat

tak proč rovnou kluky nevypnou tatína ten prohlížeči vůbec nemůže uložit tu informaci o tom

že už bylo hlasová

já tady vypnu podporu

tím zakážu

tak a můžu hlasovat jako život

hlasy nabíhají

takže

naprosto jednoduchá záležitost a hlav it soutěži tímdle způsobem dokážete zmanipulovat

pokud to sou pořadatele

trošku

znalejší zatím to teda dojde že pomocí to u tý by to nešlo

a tak udělají třeba soutěžilo nevěstě kočku tak co tam bude

samozřejmě že kočky

tomto případě máme kulky zakázaným

a vyzkoušíme hlasovat takže přidali jsme jeden hlas

tak další hlavní dat nemůžu

a já to proti vyzkouším zapnou

a nemáte s tím nic společného teď už teda nehrajeme nakoupíte ochrana tam bude udělaná

nějaký na a

po uši ne na straně toho prohlížeče ale na straně toho server

a bude se tam kontrolovat a pravděpodobně í p adresáře které ten hlas přichází tak

je ten server prostě si vede databázi ní p adres ze kterých se hlasovalo a

jakmile prostě ta í p adresa je vidět že už hlasovala tak podruhý nemůže

a tohleto je občas problém když máme nějaký velký sítě

kdy všechny vystupují boty jednou veřejnou i p adresou

tak si prostě dva hlasů jenom jeden člověk strašně těch a nikdo jinej už nemůže

ale

poblíž

jak to

jak to obejít

a tudletu ochranu

tak možná vás napadne existujou nějaké pro při servery na internetu veřejně dostup některý dokážou

přesměrovat tu vaši komunikaci že vy odešlete ten požadavek pro při serveru

a ten pro při server teprve na ten webový server

vy si můžete tu adresu toho pro tři server ú libovolně měnit a

na nějaký existující prostě adresy těch pro při server

každopádně takle budete asi schopni uděláte nějakých

stovky hlasů třeba když budete mít nějakej lobista se stovkou těch pro tři server ú

ale těžko tak budete dělat tisíce desetitisíce hlasu

protože tolik praxi server u prostě veřejné jich na tom internetu nenajdete

tak

druhá věci ještě ty pro při servery když přes ně směřujete tu komunikaci tak oni

většinou přidávají do té komunikace t p hlavičku x forwarder for

která říká

pro jakou p adresu oni vlastně to komunikaci směřují

takže že původně že to je z mojí adresy na to pro chci pak na

ten webový server a ten webový server vědí teda people adresu t pro syny a

vidí i

hlavičce covered for mojí t p adresu

no a právě proto aby nebylo možné takle používat ty pro při servery tak se

na to webovým server u často kontroluje

právě ta hlavička x forwarder for takže já když pojedu přes víc praxi server utekli

xor dva default budu mít stále stejný a prostě blíže hlasů pod do nekonečna já

tak virových čem je problém

ta hlavička recovered for

teda úplně vpohodě podvrhnout

my si můžeme napsat jakou chcem

takže

a zase tady když vezmu nějaký do plně

tak dám tady hlavičkový curvature z funktoru podvrhovat a dám tak jako lokální p adresu

sto dvacet sedum nula jedna ješte stuff pro běh hlasovém takto s medituju

na si tam tady konec

se jí

rozhlasová

takže všud máme druhý hlas

změníme

obsah

té hlavičky

trojku

tak a zase krásně přidáváme hlasy i když to kontroluje tu víte adresu problém je

tam vtom že to kontroluje tu hlavičku x forvard for

a samozřejmě zase nebudeme to dělat takle že dycky změní make adresu klikneme jednoduchej skripta

nám tam odešle těch tisíce požadavků

prostě během minuty takže

další možnost prostě jak stoupej

tak přesuneme se na

soutěž největší žádnou

taky určitě jste nečekali nic jinýho

tak jako kontrolu máme tady zkoušíme

hlasovat jeden vás druhý hlas už nejde vyzkoušíme změnit hlavičku

forward fórem

prostě to nejde

tak tady už nám opravdu

provozovatele hlídají

to víte adresu skutečnou ze které pochází ten požadavek

a tu adresu tam už máme opravdu možnosti jedině že najdeme opravdu nějaké transparentní pro

při které nepředávají tu hlavičku tvorové for

a uděláme s nějakej seznam těch pro při na lexém říkal dokážeme tak získat maximálně

stovky hlasu

tak

zase napadá pouštět někoho jak by se tahle ta soutěž dala obojí

tak a

si tady vezmu

chvíli tužku budu se tady snažit trošku kreslit uděláme to pomocí útoků krosany trik šatstvo

viděli

a ten útok probíhá tak že vlastně to hlasování

na ní

vlastně

my když klikneme odesíláme ten hlas a nejčastěji pomocí nějakého pět požadavků

to znamená že vidím f udolá adrese na nějaký ty soutěže soutěž potom ta máme

proměnnou dvou ta rovná se dvě nebo tři o proud který pro produkty možností hlasujeme

co se stane když třeba sme vlastníky nějakého webů kde máme návštěvnost řekněme

tisíce uživatelů denně

a my na ten náš v

uložíme

na tom ale tak t m g

se

tak t p

soutěže

čili když se ze ta

a dáme tady vše budeme hlasovat to pro volbu dva

a každý kdo navští ten náš v

tak vlastně jeho prohlížet se bude snažit načíst obrázek a odešle ten request na stranu

toho server ú a ten uživatel nevědomky nám tam vlastně za hlasuje

pokud je uživatelům to máme opravdu tisíce denně tak nám tady budou přibývat tisíce hlasů

denně a ty uživatele vůbec neví o tom že hlasů

a

opravdu každej hlas nezmíníte adresy protože prostě je to odesílají různí lidé

a neví o tom

ta ochrana

tady by se dala nasadit třeba hlídání hlavičky referrer která říká z jaké stránky to

přichází

takže kdyby to bylo na jakým

webu vlastně ten obrázek jako c z tak té hlavičce refer by na tom serveru

bylo vidět je to přichází z jako c a nestih soutěží

ta hlavička čáslav se vyskytne nějakej exploit pro prohlížeče a d podvrhnout takže i s

tím by se dalo trošku pohrát

možná nejdůležitější že se dá udělat aby ta hlavička se ne odesílal a

takže

když potom tu hlavičku neodešle tak ten server to většinou vezme

protože ne všichni jsou schopní tu hlavičku reserva vysílat

oni některé hraniční prvky na té síti

tu hlavičku vyhazuju protože může být nebezpečná

takže není problém dělat aby ty uživatele vlastně hlasovali best hlavičky refer

třeba tím že ta naše stránka bude t p s

načtená přes ten protokol zabezpečen a tam podle nějakých těch

ref c čeká to nesmí odesílatel

ten refer

tak a

možnost jak to ošetřit správně

vidíme další soutěživou nejhezčí pozadí

a tady je

sem tam měl nějaké hlas

a tady opět to prostě je nějaká kontrola ale druhá věc která tu je na

nebudem moc dobře vědět protože to tady dole vtom ú do

tak

každá ta

to na každý ten hlas vlastně má vždycky ještě nějaký parametr nejenom to vote vetřela

dva takže hlasů pro volbu dva

ale má tady ještě parametr ty k to a nějaký jedinečný identifikátor který pokaždé když

bude zvyšovat tu stránku

tak ten ty pět se bude měnit

je to vlastně ochrana proti těm útokům typu cross aidy křeslo jerry kdy mi když

tomu uživateli generujeme tu stránku

tak si uložíme do databáze ještě že sme mu dali takovej a takový ty ke

a že sme to dali tomu konkrétnímu uživateli z určitou líp adresou

a ve chvíli potom ten uživatel za hlasuje tak se to podívá jestli takový ty

ke dnu byl vystavenej a teprve když se zjistí že ano tak ten hlas je

platnej ve chvíli kdy by chtěl útočník podvrhne ten obrázek tak on si může vygenerovat

tykat pro sebe

ale ten už nebude platnej pro ty uživatele zimní chyba adres pro ten ty který

je

sloučeny osmi spojený s tou b adresou

komu to bylo vystaveno

takže tím můžeme potom krásně tu soutěž ošetřit

pak vás napadá štét někoho jak by se to dalo obejít i ve chvíli to

máme ty ke ty

tak i když tam máme ty ke ty je tak stále ty provozovatelé těch nebo

pořadatele těch soutěží

nemají vyhráno

protože při

prosím

ne

jo jako pokud bysme

dekom přemýšlim javascriptem my bysme mohli uživatel navštíví naší stránku

to mi musela bejt zranitelnost krasavic skipping na té doméně aby my sme byli schopni

sto uranu přečíst týkat a odeslat to

pod věděla skytne může přistupovat do jiných domén

takže musilovi tam i zranitelnost krasavic lifting souš na osumdesát procent bude

a na ty domény

no a najít ve kréta zranitelnost kreslit skripty není je docela umění

tak

vy to uděláme trošičku jinak uděláme to pomocí klíče tím

jak by jak by takový útok vypadal

tak

já tady zkusím vytvořit nějakou webovou stránku

vlastně útočníci tedy dělá webovou stránku a udělá to že

tu konkrétní stránku f s tou soutěží načte do toho i se jim práva

tak já tady zalže nějakej

frame

vezmu tu adresu s tou soutěží

kdo

takže do stránku s tou soutěží sme si načetli do rámu

já to možná trošku zvětším

takže dáme tady k tomu ram unk nějaké styly

čím

tak my můžeme ten rám udělat průhledné

takže

řekněme

je nastavíme další

vlastnost to asi ty

já to udělám deko poloprůhledná tak žádná celá pět

jako ne ten nám taky poloprůhledná i

a tam kam chci aby ten uživatel kliknout tak tam vložím nějakej prvek třeba tlačítko

klikni sem

takže

tak zase

tom tlačítku dán nějaké styly

dámu absolutní pozicování abych si to tlačítko dál kam potřebuju

jo nechám tam to

že tady je vidět to tlačítko sme si dali tady let ten a

ten r a můžu děláme úplně průhledný

takže opacity nastavím

na nula

tak

samozřejmě se to dá víš taková daleko líp by to bylo

prošků

dneska dáváme něco zadarmo vstup tady

jo rozešle na třeba ímejlem odkaz na to nebo dáme ten odkaz někam do fóra

je to jedno

a uživatel dyž přejde na tu stránku a klikne na to tlačítko

tak on nedělá nic jinýho

než že klika na ten obrázek a dává hlas if té soutěži

takže tentokrát vlastně vtom rámu tomu uživateli byl vystaven ten tykat pro něho

tam vlastně klikne odesílá to on takže

v tomhle případě ušila

ta webová aplikace nemám moc šancí

jak vlastně poznat že de o nějakej podvržené já vás

tam potom že obrana spočívá jenom v tom že my musíme zablokovat aplikaci ta běžný

uživatel mohl načítat do ram to znamená že třeba přidáme a t p hlavičku

x frame ovšem s kde vlastně zakážeme to načítání from

tím pádem to

se do toho rand aplikace nepodaří načíst a

ošetříme to tím

tak i já se přesunu na

další

další

jsou těžká teďko nejsem na internetu takže

takže tady s tady měli být vlajky a like what niob phased on table přice

zakazuje používat jelení platny provo nějaké soutěže

a hle stejně většina pořadatelů prostě ty soutěže zakládá na těch like what

tadleta soutěž se dá obejít a pomocí toho klid checkingu úplně stejně protože ty jo

mají platný nejsou nic jinýho nešli frame i

a díky tomu

že ty ale dva ty se načítají size buku prostě a perfektní to chce aby

to bylo možný načítat dodám tak a tam žádná ta ochranná pomocí

i celý mokřin s není a my si kdykoliv můžeme tam y ta ten vzít

dát tu ránu vlastně každý s tyhle dva tu data který se dejme nějaký nese

céčko vlastně ten zdroj a vám stačí že vy prostě vezmete ten zdroj

dáte vona tu svoji stránku do ram uděláte to průhledný

klidně není problém to quit jakým udělat že ten rám je třeba jenom pět krát

pět pixlů

a je dynamicky že se vám drive furt pod nižší

takže vy můžete

klikat kam chcete anglicky kliknete prostě do toho rámu kam chcete utočí

takže ten

pokud je ta soutěž na základě těch like what no tak opět pomocí k jakýmu

žádný problém

a tady vpodstatě u žádná ochrání neexistuje protože flash book to umožňuje načítat do ram

tak prostě jako pořadatelé se tomu nebráním

tak já bych opustil vyhlas ovečky protože času a bývá

budeme se podíváte na ty selešová tehdy

klešťové kdy jsou opět a

poměrně

častým typem soutěží

tak já si tady zahraju

to už nechám upadat ten jeden blok mi bude na vítězství stačí

tak

ve chvíli kdy sme do kde ta hra vlastně funguje ta nefunguje na server od

a funguje u nás prohlížeči

my sme nahráli nějaké skóre a teď přichází čas kdy mi to skore musíme odeslat

na ten webový server

takže proč to nezmanipulovat vlastně to odesílání

takže já tady když

román ke konci zapnu nějaký

lokální pro si

vlastně ten pro k si nástrojů udělá to že se postaví mezi ten prohlížeč a

webový server tak si nám to stoupne doprostřed a bude nám to vlastně stopovat ty

požadavky které vlastně ten prohlížet odešle

když je můžeme upravit a teprve potom a přepošlem dál

na té webový server

takže já tady

zapnu to zachytávání

tak odešlu skóre

jo

takže to by analog a

tady někde cetu pro lokál s nepoužívá

tak omlouvám se za komplikace

tím že to blíží na lokál s

věříte teďkon

z je c

dobře tak

já si já si tedy na

odpustím nebo já zkusím byl ještě jednu věc a to vám tady přes jinej nástroj

tajdle ten doplněk

tak ještě jednou si zahraju protože mě to baví

ale mohl být opadat rychlejší takže počkáme

a tomu sitová stahování tyto doufám fungl bude

tak z nějakého důvodu

ani toto nechce teďko

se na slovo

dobře

nedá se nic jo

ne tři mi to

takže a poté se nám čas blíží já dyžtak odpoledne bude na todle téma ještě

workshop poklici do budete chtít všechno sem i vyzkoušet

tak a věřim že tam zprovozníme kdy věci který jede konzolový

je co sem měl teďkons plán uděláte vlastně zastavit to odesílání skóre přepíšete skóre odešlete

na ten server

a krásně to projde

u těch ostatních r když tak na tom hošku workshopů si ukážeme tak tam se

dělají ochranným těch plyšových r že vy

nahrajete nějaké skóre

napíšete vlastně nějakej to svoje kontaktní údaje třeba odešlete to na ten server

a tak zašová aplikace udělá to že vezme to skóre přidá k tomu nějakou sůl

dělá s toho hash a na ten server vodesílá nejenom skóre ale i ten hash

kontrolní

na straně toho server ú se potom zase vezme to skóre přidělá se k tomu

ta sůl završuje se to porovnají se ty naše jestli sedí nebo n

ve chvíli kdy ty ještě nesedí tak jasný že někdo manipuloval

s tím skórem

todleto je nejčastější způsob jak je devadesát pět procent těch křečových soutěží ochráněno problém je

vtom že flash není něco co by se nedalo de kompilovat

to prostě

co ještě kompiluje ne úplně vpohodě já vyzkouším třeba tajidletu hru

když si zobrazím zdroje které stránky najdu si tady kde je ta hra

uložena

tak tady mám

přímej odkaz na tu hru použiju nějaký nástroj

na tu rekompilaci

a vlastně získáme

bezproblémů zdrojů bytekód toho flash kde bude vlastně krásně napsaných čeho vznikáte nádrž

tak už máme zdroj adsl eště

vyhledáme si

jejichž

krásně bysme tady potom viděli

že ten ještě nějaká m d pět k ze slova flash tři plus nějaké to

nastane skóre

a tím pádem to teďkon sme schopný zmanipulovat úplně stejně jako lišta ten vůbec není

protože my si řekneme chceme skóre milion tak vezmeme milion při dané slovo flash tři

přidáme k tomu ten milion plamene pětku

a vtom request u co odesíláme na ten server změníme nejenom skóre ale i ten

náš a server nemá možnost

jak poznat že vlastně tam došlo k nějaké manipulaci

takže to je nejčastější způsob jak jsou chráněny ty klešťové soutěže

pak a

já už to tedy pomalu začnu končit a

říkám ne všechno se povedlo ne všechno sme stihli výstava zradu vidím eště na tom

workshopů jaksi dost praxi všechno můžete vyzkoušet

a s cílem má této přednášky teda bylo poukázat na to že pokud pořadatelé soutěží

pořádali někdo z vás soutěž na internetu

a

měli ste to ošetřený proti všemu nebo to bylo něco jinýho jinej ty soutěže

jinýho

tak

právě že a on je strašnej problém že na tomletom si ta firma ten pořadatel

můžete rovnou docela vostudu

je tím že to nezvládne tu soutěž že najednou se tam začnou ukazovat takový nesmyslný

skóre prostě i je jasný že reálně možný nahrát tisíc bodů a tam mají soutěžící

milióny prostě

ale nebojte voni datový stejně pošlou protože oni nechtějí bejt a hlupáky že něco zvorali

nebo to většinou zadávají ty soutěže ještě je prostě externím firmám jako zařiďte nám soutěž

a samozřejmě ta externí firma nepřiznám jsme vám to zvorali

takže všichni se to snaží ututlat

když to jsou naprosto nesmyslný věci to skóre co tam získáte tak prostě jihu vám

pošlou a

ticho po pěšině

a

to bych vám pošlou pokud je to poctila firma jo stejně jako sou nepoctiví hráči

tak sou ji nepoctiví firmy a

vy třeba se dostanete i k tabulkám těch vítězů víte že ste tam prostě první

hodina napíšu nebyl ste první ho taky na

takže je to

ne vždy se dočkáte těch výher které vlastně z té soutěži

jsou nabízeny

no a co se teda teďka druhýho důvodů téhle přednášky tak asi je zřejmý že

normální lidi prostě ty webový soutěže ne vyhrávají když muž také neštěstím hodně

a my sme teďkon dorovnali ty šance

takže se ten když je vy máte šanci chci nějakou tu výhodu

tak jo tak já bych to teda ukončil tak jasná to pro vás bylo nějak

přínosný a děkuju vám za pozornost