Názory k článku Postřehy z bezpečnosti: krádež platební karty skriptem v EXIF

U části "Závažná chyba v Cisco přepínačích" chybí jedna podstatná informace. V popisu zranitelnosti se píše: "A vulnerability in session management for the web-based interface". Tudíž řešení je jednoduché. Nepoužívat/vypnout web management :-)

K tomu scriptu v EXIF - jestli správně chápu, tak stejně útočník musel nejprve pozměnit scripty na webu obchodníka, aby stály ten obrázek a z EXIF spustily script.

Nápad je to zajímavý, ale EXIF byl jen šiřič scriptu (asi méně nápadný) a klidně to mohli stáhnout a spustit jinak.

Pokud útočník dokáže upravit scripty na webu, tak už je to pak víceméně jedno. Nebo v tom bylo ještě něco podstatného a geniálního, co mi uniká?

7. 7. 2020, 11:24 editováno autorem komentáře

Neuniká. Tuhle zprávičku vidím už tuším potřetí a pokaždé je to stejné: barnumský titulek o "škodlivém skriptu v EXIF" a pak se při pozornějším přečtení ukáže, že tam byl jen schovaný proto, aby to dotažení druhé části vypadalo nenápadně.

Jak nekdo psal minule byla to zajimava forma obfuskovani.

To mi trošku připomíná, jak před pár lety oběhla svět zpráva, že se nějakému hackerovi podařilo šířit škodlivý kód v Minecraftu v příloze PNG obrázku skinu postavy. Po té, co se spousty lidí (včetně kolegy) rozčilovaly, který dement naprogramuje hru tak, že spouští kód z obrázků, abych pak vyhrabal, že vše, co se stalo je, že ten kód někdo sice připojil k PNG souboru a ten nahrál jako vzhled postavy, ale tím to skončilo.