• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Можно ли так украсть пароль или сессию?

taigeroo

Member
06.08.2022
5
0
BIT
0
Вот к примеру, я зашел (авторизировался) на одном сайте. Потом в новой вкладке зашел на другой сайт, там тоже авторизировался, т.е. ввел логин и пароль. Так может ли первый сайт украсть пароль и логин второго? То есть может ли админ запрограммировать его так, чтоб он перехватывал другие сессии и пароли своих пользователей? Типа такого рода хакерство. Такое возможно сейчас? Я просто не силен в программировании, но меня беспокоит, что админ одного из сайтов может собирать информацию о том, куда еще заходят пользователи его сайта и перехватывать пароли с логинами от почтовых ящиков и других важных сайтов.
 

f22

Codeby Academy
Gold Team
05.05.2019
1 841
225
BIT
1 042
Так может ли первый сайт украсть пароль и логин второго?
Нет, так быть не может.

То есть может ли админ запрограммировать его так, чтоб он перехватывал другие сессии и пароли своих пользователей?
Какой смысл ему это делать, если он админ и у него есть доступ ко всей базе пользователей

меня беспокоит, что админ одного из сайтов может собирать информацию о том, куда еще заходят пользователи его сайта
Если вы не устанавливали какое-то ПО с этого сайта, версия браузера у вас последняя, то такой вектор атаки маловероятен.

Но! Если по определённым метрикам можно вычислить на каких сайтах был пользователь - это всё сделано для большей эффективности таргетированной рекламы.
Речи о перехваченных таким образом логинов и паролей не идёт.
Считается - что эта информация не персонифицированна
 

taigeroo

Member
06.08.2022
5
0
BIT
0
Какой смысл ему это делать, если он админ и у него есть доступ ко всей базе пользователей
Я имею в виду не пароль от его сайта, а пароли от других сайтов.
Ну вот сморите, я зашел на ваш сайт, вы админ и знаете какой у меня пароль и логин. Знаете, т.к. у вас есть база пользователей в админке. Но вот я в другой вкладке зашел на почту, и ввел туда свои логин и пароль. Так вот если бы вы были любопытным хакером, могли бы вы каким-то образом узнать на какой сайт, помимо вашего, я заходил и какой там пароль и логин? Я не только себя имею в виду, а вообще пользователей. Допустим у вас форум и вам пригляделся какой-то пользователь и вы бы хотели узнать о нем побольше, смогли бы узнать пароли через перехваченную сессию? Тем более если он не на Виндовсе, а на Линуксе? Что бы вы сделали для этого? Что-то мне подсказывает, что это можно, к примеру, через куки.
 

larchik

Администратор
07.06.2019
374
426
BIT
242
Так вот если бы вы были любопытным хакером, могли бы вы каким-то образом узнать на какой сайт, помимо вашего, я заходил и какой там пароль и логин?
Админ сайта, на котором ты сидишь, никак не может узнать, какие вкладки у тебя открыты и уж тем более, какие данные ты там вводишь.
Однако, если у тебя уязвимый браузер (как правило, какой-нибудь устаревший), то на тебя возможно провести такую атаку. Ставь свежий браузер и не устанавливай в него подозрительные дополнения.
 
Последнее редактирование:

f22

Codeby Academy
Gold Team
05.05.2019
1 841
225
BIT
1 042
Но вот я в другой вкладке зашел на почту, и ввел туда свои логин и пароль.
Логика тут банальная - для каждого ресурса использовать свой пароль...
Но, тут важно понимать, что в большинстве нормальных почтовых сервисов вы всегда можете видеть, откуда был вход - по крайней мере по IP адресу.
Если какое-то место вас смущает, надо сразу менять пароль

Допустим у вас форум и вам пригляделся какой-то пользователь и вы бы хотели узнать о нем побольше, смогли бы узнать пароли через перехваченную сессию?
Да, админ может узнать его пароль в том случае, если эти пароли хранятся в незашифрованном виде.
Если пароль достаточно длинный и эти пароли шифруются, то даже админу на расшифровку может понадобится уйма времени.

Тем более если он не на Виндовсе, а на Линуксе?
Система тут абсолютно не при чём.

Что-то мне подсказывает, что это можно, к примеру, через куки.
Я ещё раз вам говорю, что кукисы к паролю не имеют отношения.
Если кто-то (админ, злоумышленник, пентестер) получили ваши кукисы, то они смогут зайти под вашей учёткой на тот сайт, который передал кукисы. Но! В 99% случаев, если это не какой-то самопальный сайт, пароль там будет скрыт, если вообще будет где-то хранится. И узнать его он не сможет.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!