<![CDATA[Latest posts for the topic "Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking"]]> /hvaonline/posts/list/12.html JForum - http://www.jforum.net Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking Hack account Facebook, Gmail, Yahoo mail… bằng HTTP Session Sidejacking Tình huống: Bạn vào một quán café , có dịch vụ wifi miễn phí, bạn hăm hở kết nối vào mạng, truy cập vào Facebook.com (FB). Sau vài phút, trên wall của bạn xuất hiện một dòng status do chính bạn viết mà không phải do bạn viết, ghi là “Account FB này đã bị thâm nhập bởi abcxyz” . Bạn hết hồn, tắt máy, nhưng sau đó mở máy lại, truy cập lại vào FB, nhưng kẻ bí ẩn nào đó vẫn đang giả danh bạn post lung tung. Bạn vốn tự tin là máy mình an toàn do đã cài đặt một trình antivirus update liên tục, không bao giờ tải các chương trình bậy bạ để máy bị dính trojan hay keylogger. Ấy vậy mà Account Facebook của bạn vẫn đang bị đánh cắp trước mũi bạn. Chuyện gì đã xảy ra với account FB của tôi ? Làm sao nó lại bị đánh cắp một cách lãng nhách và nhanh chóng vậy ? Vâng, rất có thể bạn đã là nạn nhân của một cuộc tấn công Session Sidejacking. Session Sidejacking là kiểu tấn công không mới, nếu không muốn nói là nó xưa rích rồi, kể từ khi phiên bản HTTP 1.1 ra đời cùng với sự hỗ trợ session cookies Session Sidejacking là gì ? Đây là kiểu tấn công thuộc họ man-in-middle attack, mục đích là nghe lén đường truyền giữa người dùng và các máy chủ dịch vụ bằng các công cụ sniff rồi đánh cắp các dữ liệu quan trọng liên quan tới phiên làm việc của người dùng, rồi phục dựng phiên làm việc này trên một máy tính thứ 3. Session Sidejacking đặc biệt hữu hiệu và dễ thực hiện khi nhằm vào mục tiêu là các phiên truy cập trên môi trường web. Hướng tấn công này trong môi trường web và giao thức HTTP chủ yếu là nhằm vào việc đánh cắp session cookies -1- định danh người dùng, qua đó khôi phục phiên làm việc hiện thời của người dùng rồi sau đó người tấn công sẽ có các biện pháp tấn công sâu rộng hơn để chiếm được mật khẩu tài khoản của người dùng Nói ngắn gọn dễ hiểu, ở một mức độ nào đó, là người tấn công sẽ dễ dàng chiếm tài khoản Facebook, gmail, yahoo của người dùng bằng HTTP Session Sidejacking Bài viết này chủ yếu nói về cách thức tấn công HTTP Session Sidejacking . Tức hình thức tấn công Session Sidejacking nhắm vào việc đánh cắp session cookies và phục dựng là HTTP Session. Đặc biệt: Phương thức tấn công Session Sidejacking trong bài viết này không cần phải có card mạng hỗ trợ chế độ Promiscuous ( chế độ hỗn độn ) -2- . Đây là một bước tiến bộ so với các công cụ tấn công tự động như Firesheep, hamster & ferret, khiến việc tấn công session Sidejacking trở nên dễ dàng thực hiện đối với tất cả các card mạng hiện có. Nói cách khác, ai cũng làm được ---------------------------------------------------------------- Môi trường tấn công: một mạng wifi nhiều người dùng mà bạn cũng có quyền truy cập Mô tả quá trình tấn công: Như đã nói ở trên, Session Sidejacking là phương thức tấn công thuộc họ Man-in-middle attack, nó thực chất là sự kết hợp của 03 kĩ thuật tấn công khác nhau bao gồm ARP Poison Routing, Network Sniffing, Cookie injection. Quá trình tấn công sẽ diễn ra qua các bước: Bước 1: Kết nối vào mạng wifi, nếu bạn không có quyền truy cập thì bạn phải “crack” và tìm ra password truy cập mạng Wifi (tham khảo kỹ thuật crack wifi với aircrack-ng) Bước 2: Thực hiện ARP Poison Routing, bước này nằm giúp bạn có thể biến máy tính của bạn trở thành một router giả danh nhằm mục đích sniff -3- dữ liệu được trung chuyển trên toàn mạng wifi. Bạn nên tìm hiểu thêm về APR Poisoning attack để hiểu rõ kĩ thuật này làm như thế nào và tại sao nó có thể được thực hiện Bước 3: Sniff tất cả dữ liệu trung chuyển trên mạng wifi sau khi mạng này đã bị ARP Poison Routing Bước 4: lọc ra dữ liệu đến từ người dùng cụ thể, ví dụ một người dùng có IP là: 192.168.1.138 Bước 5: tái dựng lại TCP stream của phiên truy cập website của người dùng, và bóc tách dữ liệu cookie của người dùng Bước 6: Thực hiện cookie injection, nhằm chèn dữ liệu về cookie vào trình duyệt của người tấn công Bước 7: Khôi phục hoàn toàn phiên truy cập web của người dùng trên máy tính của người tấn công xnohat - HVA ---------------------------------------------------- -0- Session: Phiên làm việc. Để dễ hình dung một phiên làm việc là như thế nào bạn hãy mường tượng bạn đang mở một truy cập mới vào trang facebook.com bằng trình duyệt trên máy tính của bạn. Trình duyệt của bạn thực hiện việc mở một loạt các kết nối TCP/UDP tới máy chủ web của trang web www.facebook.com, ngay lúc này phiên làm việc của bạn đã bắt đầu, vì bạn đã bắt đầu có kết nối tới trang facebook.com . Thế nhưng phiên làm việc này chưa được xác thực, tức là bạn chưa đăng nhập. Trang web www.facebook.com chưa biết bạn là ai, và bạn chưa thể truy cập các dữ liệu của mình trên trang www.facebook.com . Sau đó bạn thực hiện việc đăng nhập bằng username và password của bạn, lúc này bạn đã được xác thực, FB biết bạn là ai, và bạn truy cập được các dữ liệu cá nhân của bạn trên FB. Phiên làm việc sẽ kết thúc khi bạn đóng trình duyệt lại, mọi kết nối giữa trình duyệt của bạn và máy chủ web của www.facebook.com hoàn toàn bị đóng lại. -1- session cookies : Các session cookies là các mẩu dữ liệu nhỏ, có thể là các files hoặc các record trong CSDL của trình duyệt, làm nhiệm vụ lưu giữ một số thông tin liên quan đến phiên làm việc của người dùng trên một trang web. Từ sự giải thích về session ở trên bạn sẽ thấy rõ cách mà trang web www.facebook.com ( hay đúng hơn là máy chủ web của www.facebook.com ) duy trì việc nó biết bạn là ai, sau khi bạn đã đăng nhập bằng username và password của mình. Đúng vậy, http://www.facebook.com/ tạo một vài session cookies trên máy tính của bạn, trong đó nó lưu trữ một số thông tin liên quan tới username của bạn và một dạng mã hóa nào đó mật khẩu ( hiểu theo cách này cho đơn giản ), cùng với một số thông tin linh tinh khác. Sau mỗi lần bạn chuyển trang ( tức click vào hyperlinks và trình duyệt chuyển bạn tới một trang web khác dĩ nhiên vẫn thuộc địa chỉ http://www.facebook.com/ , ví dụ: http://www.facebook.com/xnohat/pic?id=abcxyz ) thì http://www.facebook.com/ lại đọc lại dữ liệu từ các session cookies này để biết bạn là ai, thay vì cứ mỗi lần bạn chuyển trang nó lại phải hỏi bạn thông tin đăng nhập như username và password -2- Promiscuous mode ( chế độ hỗn độn ) : Chế độ hỗn độn là một chế độ hoạt động đặc biệt của card mạng wireless. Ở chế độ này, Card Wireless cho phép chính nó được phép nhận lấy tất cả các gói tin trong tầm với của nó (tầm thu sóng của nó), mặc cho gói tin đó có được gửi tới cho nó hay không. Nói cách khác, card mạng wireless được phép đọc lén các gói tin gửi cho các card wireless khác trong mạng ( rất bất lịch sự ). Chế độ này không được các nhà sản xuất đưa vào các card mạng wireless thông thường từ năm 2005 vì lý do chúng được tận dụng cho mục đích xấu nhiều hơn là mục đích tốt (tỷ dụ như thực hiện crack mật khẩu mạng wifi chẳng hạn). Do đó hiện nay ngoài việc kiếm mua một card wireless chuyên dụng có hỗ trợ tính năng này thì thật khó để bạn có thể thực hiện các kĩ thuật liên quan tới Network Sniff và APR Poisoning. Tuy nhiên, cái khó ló cái khôn, nhiều chuyên gia về mạng hàng đầu ( hay các hacker cực kỳ tinh thông ) đã đưa ra thư viện Pcap. Thư viện Pcap hỗ trợ một số kỹ thuật chuyên sâu như Monitor mode – RFMon (Wireless card only) , Port mirroring, Network taps … , giúp việc thực hiện cá tác vụ Sniff, APR Poisoning có thể thực hiện trên các card mạng không hỗ trợ Promiscuous mode -3- Sniff : Bắt gói tin . Đây là một tác vụ thường thấy trong việc phân tích luồng truy cập mạng. Tác vụ sniff này có thể tưởng tượng như là một người A gởi thư cho người B , trên đường thư được giao từ người A tới người B thì người C lén sao chép nội dung của lá thư rồi tiếp tục mang đến cho người B. Người A và B không hề biết thư đã bị sao chép và đọc lén. Thay người A , B ,C bằng máy tính A,B,C và lá thư bằng gói tin, “trên đường đưa thư” bằng “trên đường mạng”, bạn sẽ thấy ví dụ tôi đưa ra thực sự rất tương đồng ---------------------------------------------------------- Kỳ sau: Hướng dẫn tấn công HTTP Session Sidejacking Step-by-Step B-) Khi nào up xong chục tấm hình minh hoạ và format cái bài viết sang BBCode xong thì post :D Tuy nhiên, tôi vẫn thích sẽ có sự thảo luận chuyên sâu về kĩ thuật trước khi bài viết hướng dẫn được đăng, vì thực hành chỉ là phần phụ, lý thuyết ở đây mới là thứ lý thú. Tôi luôn mong đợi các ý kiến đóng góp; Nhất là câu hỏi thắc mắc của anh em đặc biệt các câu hỏi dạng: Tại sao điều A lại làm cho điều B thực hiện được, Nếu điều A xảy ra thì có gì kéo theo không, Nếu tôi dùng điều C thì hiệu quả hơn chăng ? ... Note: Title chỉ mang tính minh hoạ vì mục đích câu khách =)) Gmail và Yahoo mail hiện nay đều bắt buộc dùng HTTPS cho các phiên làm việc, chỉ còn facebook là còn bê bối ]]> /hvaonline/posts/list/40470.html#249353 /hvaonline/posts/list/40470.html#249353 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#249355 /hvaonline/posts/list/40470.html#249355 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249357 /hvaonline/posts/list/40470.html#249357 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

myquartz wrote:
FB, Gmail và Yahoo áp dụng cái này giờ khó rồi. Đơn giản là hãy dùng HTTPS, cả 3 site trên đều cho phép bật mặc định dùng HTTPS. Mã hoá rồi thì man trên giời cũng ko middle được (dĩ nhiên cũng phải biết tí chút là khi nào SSL Cert bị giả mạo và trình duyệt từ chối nhé). 
Ai trong dân kĩ thuật cũng biết SSL/TLS sẽ hỗ trợ việc chống lại man-in-middle attack. Thế nhưng đó là người dùng am hiểu kĩ thuật, còn người dùng bình thường chả mấy quan tâm, nhất là dân business. Việc HTTPS không được yêu cầu mặc định trong các website cũng là một nguyên nhân khiến kiểu tấn công này vẫn dung hại. Đáng nhẽ các website phải ép người dùng dùng HTTPS để an toàn Đã bảo là cái title được giật cho vui và để có cái mà bàn luận mà, dĩ nhiên thực tế là Gmail và Yahoo đã chơi trò ép người dùng được một thời gian rồi :D Mặt khác, SSL/TLS hiện đang bị kiểu tấn công do lão mrro mới công bố đe doạ nghiêm trọng. Kĩ thuật tấn công đó khó khăn khi tấn công từ xa, nhưng nếu tấn công trong một mạng local dạng mạng wireless, khi các dữ liệu dễ dàng bị nghe lén thì khả năng tấn công diễn ra dễ dàng hơn rất nhiều. Đọc thêm bài viết trên blog của lão mrro để rõ thêm Một câu hỏi nhỏ: Các bạn thử nghĩ tại sao mà các trang web hầu hết đều không áp dụng giao thức HTTPS là yêu cầu kết nối mặc định ? :*- ]]>
/hvaonline/posts/list/40470.html#249373 /hvaonline/posts/list/40470.html#249373 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

xnohat wrote:

myquartz wrote:
FB, Gmail và Yahoo áp dụng cái này giờ khó rồi. Đơn giản là hãy dùng HTTPS, cả 3 site trên đều cho phép bật mặc định dùng HTTPS. Mã hoá rồi thì man trên giời cũng ko middle được (dĩ nhiên cũng phải biết tí chút là khi nào SSL Cert bị giả mạo và trình duyệt từ chối nhé). 
Ai trong dân kĩ thuật cũng biết SSL/TLS sẽ hỗ trợ việc chống lại man-in-middle attack. Thế nhưng đó là người dùng am hiểu kĩ thuật, còn người dùng bình thường chả mấy quan tâm, nhất là dân business. Việc HTTPS không được yêu cầu mặc định trong các website cũng là một nguyên nhân khiến kiểu tấn công này vẫn dung hại. Đáng nhẽ các website phải ép người dùng dùng HTTPS để an toàn Đã bảo là cái title được giật cho vui và để có cái mà bàn luận mà, dĩ nhiên thực tế là Gmail và Yahoo đã chơi trò ép người dùng được một thời gian rồi :D Mặt khác, SSL/TLS hiện đang bị kiểu tấn công do lão mrro mới công bố đe doạ nghiêm trọng. Kĩ thuật tấn công đó khó khăn khi tấn công từ xa, nhưng nếu tấn công trong một mạng local dạng mạng wireless, khi các dữ liệu dễ dàng bị nghe lén thì khả năng tấn công diễn ra dễ dàng hơn rất nhiều. Đọc thêm bài viết trên blog của lão mrro để rõ thêm Một câu hỏi nhỏ: Các bạn thử nghĩ tại sao mà các trang web hầu hết đều không áp dụng giao thức HTTPS là yêu cầu kết nối mặc định ? :*-  
Có gì đâu mà hỏi nhỏ? chắc bác này định học theo style conmale, thi thoảng làm 1 tý câu hỏi nhỏ. các trang web thông thường mục đích chính là phục vụ những người thông thường. nên không cần phải bảo mật cao lắm, nên ko áp dụng HTTPS là yêu cầu kết nối mặc định, thậm chí 1 số trang còn không hỗ trợ HTTPS. những trang như yahoo mail và gmail hay paypal thì áp dụng HTTPS là yêu cầu kết nối mặc định bởi vì nhu cầu bảo mật thông tin của người sử dụng cao. nếu người sử dụng không ý thức việc bảo mật giữa HTTP và HTTPS thì nhà cung cấp (yahoo, google, paypal, ...) cũng sẽ để mặc định vì họ muốn bảo vệ khách hàng của mình, bảo vệ khách hàng chính là bảo vệ đến uy tín của công ty. PS: Tất cả sản phẩm được làm ra đều phải phục vụ cho nhu cầu và mục đích của người sử dụng, những sản phẩm trái với điều trên thì chỉ có thể là sản phẩm 'ép' người sử dụng phải dùng sản phẩm đó]]>
/hvaonline/posts/list/40470.html#249385 /hvaonline/posts/list/40470.html#249385 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

xnohat wrote:

myquartz wrote:
FB, Gmail và Yahoo áp dụng cái này giờ khó rồi. Đơn giản là hãy dùng HTTPS, cả 3 site trên đều cho phép bật mặc định dùng HTTPS. Mã hoá rồi thì man trên giời cũng ko middle được (dĩ nhiên cũng phải biết tí chút là khi nào SSL Cert bị giả mạo và trình duyệt từ chối nhé). 
Ai trong dân kĩ thuật cũng biết SSL/TLS sẽ hỗ trợ việc chống lại man-in-middle attack. Thế nhưng đó là người dùng am hiểu kĩ thuật, còn người dùng bình thường chả mấy quan tâm, nhất là dân business. Việc HTTPS không được yêu cầu mặc định trong các website cũng là một nguyên nhân khiến kiểu tấn công này vẫn dung hại. Đáng nhẽ các website phải ép người dùng dùng HTTPS để an toàn Đã bảo là cái title được giật cho vui và để có cái mà bàn luận mà, dĩ nhiên thực tế là Gmail và Yahoo đã chơi trò ép người dùng được một thời gian rồi :D Mặt khác, SSL/TLS hiện đang bị kiểu tấn công do lão mrro mới công bố đe doạ nghiêm trọng. Kĩ thuật tấn công đó khó khăn khi tấn công từ xa, nhưng nếu tấn công trong một mạng local dạng mạng wireless, khi các dữ liệu dễ dàng bị nghe lén thì khả năng tấn công diễn ra dễ dàng hơn rất nhiều. Đọc thêm bài viết trên blog của lão mrro để rõ thêm Một câu hỏi nhỏ: Các bạn thử nghĩ tại sao mà các trang web hầu hết đều không áp dụng giao thức HTTPS là yêu cầu kết nối mặc định ? :*-  
Mình nghĩ có một số lý do chính : - Đề phòng client không hỗ trợ SSL - Performance (cost cho server encrypt...) - Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu :-) - Chỉ dùng được 1 domain trên 1 ip với https ]]>
/hvaonline/posts/list/40470.html#249403 /hvaonline/posts/list/40470.html#249403 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

freakmind wrote:
Mình nghĩ có một số lý do chính : - Đề phòng client không hỗ trợ SSL - Performance (cost cho server encrypt...) - Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu :-) - Chỉ dùng được 1 domain trên 1 ip với https  
Cái màu vàng này hay à nha. Bạn giải thích một chút được không? ]]>
/hvaonline/posts/list/40470.html#249410 /hvaonline/posts/list/40470.html#249410 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249411 /hvaonline/posts/list/40470.html#249411 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

BlackParade wrote:

freakmind wrote:
Mình nghĩ có một số lý do chính : - Đề phòng client không hỗ trợ SSL - Performance (cost cho server encrypt...) - Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu :-) - Chỉ dùng được 1 domain trên 1 ip với https  
Cái màu vàng này hay à nha. Bạn giải thích một chút được không?  
Về mặt technique thì vẫn triển khai đc multiple domain trên 1IP với cùng một SSL cert thông qua Wildcard SSL, nhưng thông thường thì một SSL cert sẽ gắn với 1 IP và 1 Domain nên mới có đặc điểm như vậy.]]>
/hvaonline/posts/list/40470.html#249412 /hvaonline/posts/list/40470.html#249412 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249421 /hvaonline/posts/list/40470.html#249421 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

vd_ wrote:
@freakmind Xin bạn nói rõ hơn việc 1 cert chỉ gắn với một ip và domain? Theo tui nghĩ thì cert chỉ gắn với domain. Domain có thể có nhiều ip (load balancing). Xin nói thêm nếu arp poison + sslstrip thì attacker có thể lấy được session cookie 
Bạn đọc thử cái link này nhé http://staff.washington.edu/fmf/2008/11/05/ssl-and-ip-addresses/]]>
/hvaonline/posts/list/40470.html#249461 /hvaonline/posts/list/40470.html#249461 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249480 /hvaonline/posts/list/40470.html#249480 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

vd_ wrote:
@freakmind cert chứa domain trong CN, nên client kiểm tra là kiểm tra domain name. Còn việc hạn chế 1 ip - 1 cert là do hạn chế của Name Virtual Host đối với apache httpd http://wiki.apache.org/httpd/NameBasedSSLVHosts Trong tài liệu bạn gửi có sơ đồ cụ thể cho việc này. Lúc thiết lập SSL thì HTTP GET request chưa được web server handle nên chưa thể xử lý Name Virtual Host (field Host trong HTTP request) -> 1 ip chỉ có thể gắn với 1 cert, tuy nhiên không có ai cấm bạn sử dụng 1 cert cho nhiều ip, tất nhiên với điều kiện là các ip đó đều resolve ra 1 domain đã ghi trong CN của cert đó.  
Bạn nói đúng, và cái mình muốn nhấn mạnh ở đây là không dùng được nhiều domain name, tức là không gắn được nhiều domain trên 1 IP khi dùng SSL, chứ mình không nói đến việc có dùng nhiều IP hay không]]>
/hvaonline/posts/list/40470.html#249488 /hvaonline/posts/list/40470.html#249488 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249499 /hvaonline/posts/list/40470.html#249499 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249500 /hvaonline/posts/list/40470.html#249500 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249509 /hvaonline/posts/list/40470.html#249509 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249510 /hvaonline/posts/list/40470.html#249510 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) - Đề phòng client không hỗ trợ SSL   Hầu hết các web brower giờ cái nào không hỗ trợ SSL?
- Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu  
http:// thì trang web sẽ wwwect về https để ép người dùng sử dụng https.
- Chỉ dùng được 1 domain trên 1 ip với https  
Mình confirm là Apache phiên bản mới (mình không nhớ rõ 2.x bao nhiêu) nhưng cho phép 1 IP multiple ssl certs. Ngoài ra trình duyệt cũng phải hỗ trợ chức năng này (nhưng các trình duyệt hiện tại hầu như đã hỗ trợ).]]>
/hvaonline/posts/list/40470.html#249514 /hvaonline/posts/list/40470.html#249514 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

LeVuHoang wrote:
Mình nghĩ cần điều chỉnh lại 1 chút:
- Đề phòng client không hỗ trợ SSL  
Hầu hết các web brower giờ cái nào không hỗ trợ SSL?  
- Có lynx :D
http:// thì trang web sẽ wwwect về https để ép người dùng sử dụng https.  
Không phải ông web admin nào cũng nhớ để wwwect
Mình confirm là Apache phiên bản mới (mình không nhớ rõ 2.x bao nhiêu) nhưng cho phép 1 IP multiple ssl certs.  
- Như mình cũng đã nói là việc 1IP multiple là có thể làm được nhưng không phải trên mọi web server. Theo mình biết thì từ Apache 2.2 trở lên có hỗ trợ việc này ]]>
/hvaonline/posts/list/40470.html#249520 /hvaonline/posts/list/40470.html#249520 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) /hvaonline/posts/list/40470.html#249530 /hvaonline/posts/list/40470.html#249530 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

Mr.Khoai wrote:
Trả lời anh xnohat: HTTPS không phải mặc định là tại vì thêm chữ "S". Một chữ thôi nhưng server và client phải làm việc nhiều lằm :) khoai 
Tình hình có vẻ đúng như nhận định của Khoai . Việc áp dụng SSL không phải là một lựa chọn tốt cho hiệu suất, tác vụ encrypt/decrypt cũng ngốn mất một lượng lớn tài nguyên của máy (máy con lẫn máy chủ) để thực hiện. Điều này phụ thuộc nhiều vào khối lượng dữ liệu cần encrypt/decrypt , các site cần hiệu suất cao như Facebook, Youtube thì họ có lẽ họ cần tránh việc phải áp dụng trọn vẹn SSL trong việc trung chuyển dữ liệu giữa server và client (Trình duyệt sẽ báo cáo là kết nối chỉ được mã hoá một phần - Partically Encrypted) . Quan sát Youtube, bạn sẽ thấy họ tránh việc mặc định áp dụng SSL vào kết nối, trong khi Gmail ( cũng của Google ) lại ép người dùng phải đi xuyên qua một kết nối SSL ( có đổi thành http:// nó cũng tự wwwect về https:// ) . Youtube không làm, không phải vì Youtube họ lười, mà nếu encrypt toàn bộ kết nối của Youtube thì công việc encrypt/decrypt lúc này sẽ là một gánh nặng khủng khiếp, hàng triệu giờ video trung chuyển liên tục trên mạng của Youtube sẽ phải encrypt/decrypt. @vd_ : cám ơn bồ vì đã nhắc lại một kĩ thuật khá lâu nhưng còn hữu hiệu - SSL strip . Kĩ thuật này tôi có đọc document về nó từ hồi năm 2009, nhưng lúc đó tôi gặp rắc rối trong việc thử nghiệm nó, do cái card mạng của tôi (wireless lẫn ethernet) đều không hỗ trợ chế độ Promiscuous ( chế độ "hỗ độn" tôi có giải thích ở bài viết phía trên ), nên chỉ hiểu về nó trên lý thuyết. Nhưng nay thử nghiệm lại tôi đã thực nghiệm thành công trên Windows với card mạng không hỗ trợ Promiscuous mode. Tôi sẽ viết thêm phần này vào bài viết sắp tới của tôi. @tranminhnghia: nó được gọi là sidejacking vì tấn công thông qua cách sniff đường truyền. Session Hijacking là tên gọi chung cho kiểu tấn công "đánh cắp và tái dựng phiên làm việc"]]>
/hvaonline/posts/list/40470.html#249639 /hvaonline/posts/list/40470.html#249639 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) Tấn công HTTP Session Sidejacking Các công cụ sử dụng:
  • Trình duyệt: Firefox (bắt buộc) Thực hiện ARP Poison Routing: Cain&Abel Sniff dữ liệu và tái dựng TCP Stream: Wireshark Cookie injection: Firefox và Add-on GreaseMonkey, Cookie Injector script (down file đính kèm)
Bạn phải tự tìm hiểu cách cài đặt các ứng dụng trên. Cách cài đặt add-on Grease Monkey và user script Cookie injector vui lòng xem phần phụ lục Thực hiện: Kết nối vào mạng Wifi Bước 1: Bật Cain&Abel , vào menu configure chọn card mạng wireless của bạn (chọn cái nào hiện tại có địa chỉ IP) và cấu hình như hình dưới
Giữ nguyên các thiết lập, nhớ check vào box Don’t use Promiscuous mode. Nhờ thiết lập này mà việc thực hiện session Sidejacking có thể thực hiện được bằng hầu hết các card mạng trên thị trường. Click OK Bước 2:
Chuyển đến tab Sniffer ( trong dãy các tab nằm phía trên ). Click bật biểu tượng Sniffer ( hình card mạng) Nhấp phải ở vùng trắng trắng phía dưới chọn Scan MAC Address từ menu hiện ra. Chờ một chút cho Cain&Abel quét toàn bộ các máy tính hiện đang kết nối trong mạng Wifi Bước 3: Sau khi có danh sách các máy tính hiện đang kết nối trong mạng wifi, ta tiến tới thực hiện ARP Poison Routing. Bạn chuyển qua tab APR ( nằm ở dãy tab phía dưới màn hình – biểu tượng màu vàng và đen )
Click vào dấu cộng “+” ( chỗ khoanh tròn trong hình ) để mở hộp cấu hình ARP Poison Routing như sau:
Việc ARP Poison Routing sẽ được thực hiện giữa máy tính bên trái“các” máy tính bên phải. Bên trái có thể là router như trường hợp địa chỉ 192.168.1.1 trong hình ( các router thường có địa chỉ là x.x.x.1 ). Ở đây ta cần thực hiện việc sniff tất cả các gói tin ra ngoài internet (để truy cập các trang web), mà muốn ra ngoài internet thì các gói tin phải đi qua router, với logic này, ta sẽ xác định được là ta cần sniff đường truyền giữa router với tất cả các máy tính khác trong mạng. Do đó, ta sẽ chọn router ở phía bên trái, và tất cả các máy tính có trong mạng ở phía bên phải ( Shift-click hay Ctrl-click để chọn đều được ). Xong xuôi, click OK Bước 4: Click chọn biểu tượng Start/Stop APR ( màu vàng và đen ) nằm ở trên bên trái của cửa sổ Cain&Abel ( chỗ khoanh tròn )
Sau khi click sẽ thấy các dòng idle trước các địa chỉ IP sẽ đổi thành Poisoning Bước 5: Hiện giờ ta đã thực hiện ARP Poison Routing thành công, vậy là ta có đủ điều kiện để Sniff dữ liệu trên toàn mạng wifi này rồi Ta sẽ tiếp tục với công cụ thứ 2 là WireShark
Bạn vào menu Capture -> Option để bắt đầu cấu hình cho Wireshark
Phần cấu hình, bạn chú ý tới các mục sau Interface: chọn card wireless của bạn Capture packet in promiscuous mode: uncheck nó để có thể capture với bất kì card mạng wifi thông thường nào Capture filter: thiết đặt là tcp port http , để WireShark chỉ sniff các gói thuộc giao thức HTTP, các giao thức khác ( như FTP, DNS, ICMP … ) đều ko dc capture để tránh nhìn rối mắt Enable network name resolution: check thiết lập này sẽ khiến WireShark sẽ phân giải các địa chỉ IP thành tên miền cụ thể giúp dễ nhìn hơn, bạn có thể uncheck để thấy sự khác biệt Check vào các cấu hình khác giống như trong hình Cấu hình xong click Start để bắt đầu Sniff packets, bạn sẽ thấy hàng loạt packet hiện ra ào ào. Bước 6: Bây giờ tới lúc quay trở lại với Cain&Abel. Lúc này bạn chuyển qua tab Password ở phần tab dưới , bạn sẽ thấy màn hình như vầy:
Hãy chú ý vào cột usernamepassword, nếu bạn gặp hên, thì có người dùng nào đó vô ý đăng nhập website trong khi bạn đang sniff thì user và pass của họ sẽ được Cain&Abel bắt lấy, thế nhưng nếu xui bạn không lấy được cái password nào hết thì vui lòng quay trở lại với chuyện Session Sidejacking của ta. Bạn chú ý tiếp tới cột URL, danh sách này sẽ liên tục được cập nhật, mỗi khi người dùng trong mạng wifi truy cập một website nào đó, Cain&Abel sẽ ghi lại chi tiết: người dùng có IP nào truy cập website nào, URL là gì, địa chỉ IP của website, username & password (nếu có). Bạn cứ liên tục theo dõi danh sách này, đến khi nào xuất hiện địa chỉ web bạn mong muốn. Ví dụ: http://www.facebook.com/xnohat Ngay lập tức bạn hãy chuyển trở lại Wireshark, click nút stop trên thanh công cụ. Bạn nhanh chóng ghi nhớ lại các thông tin sau:
  • IP của HTTP Server: đây chính là IP của facebook IP của client: đây chính là IP của người dùng đang truy cập facebook
Bước 7: Bây giờ sau khi click nút stop ta sẽ thấy hằng hà sa số các packet, biết lấy cái nào ra bây giờ ? Lúc này bạn vui lòng chú ý vào khung có nhãn “Filter:” , đây là chỗ ta sẽ nhập lệnh lọc ra các packets liên quan tới việc truy cập facebook. Câu hỏi bật ra trong đầu bạn: “Ta sẽ lọc theo tiêu chí nào” , “Ta sẽ lọc bằng cách nào” Đầu tiên là tiêu chí lọc. Ta sẽ lọc ra các packet có xuất xứ từ IP của Facebook. Vậy IP của facebook là bao nhiều ? Đó chính là thông tin hồi nãy tôi yêu cầu bạn ghi nhớ ở bước 6 Hãy gõ vào khung filter dòng lệnh sau:
Ip.addr eq địa_chỉ_ip_của_HTTP_Server (vd: Ip.addr eq 69.171.228.13 )  
Rồi bấm apply, bạn sẽ thấy Wireshark sẽ lọc ra các gói tin có liên quan tới địa_chỉ_ip_của_HTTP_Server ( tức là gói tin đó được gửi từ hay gửi tới địa_chỉ_ip_của_HTTP_Server ) Câu lệnh trên có nghĩa là: Tìm cho tôi các gói tin có liên quan tới địa chỉ IP abcxyz ( chữ eq viết tắt của equal – nghĩa là bằng ) Thế nhưng cách lọc ở trên vẫn chưa kĩ, vì nhiều khi có nhiều ng dùng cùng vào facebook, vậy là Wireshark đều trả về kết quả hết, vì thế nên ta cần cụ thể cả client ( tức máy nào truy cập vào ) Hãy gõ vào khung filter dòng lệnh sau:
Ip.addr eq địa_chỉ_ip_của_HTTP_Server and Ip.addr eq địa_chỉ_ip_của_Client 
Xong bấm apply, kết quả sẽ như hình dưới
Lúc này bạn chọn một packet bất kỳ bắt nguồn từ facebook.com nhấp phải sẽ có menu như trên hình, bạn chọn lệnh Follow TCP Stream. Lệnh này sẽ giúp tái dựng lại luồng dữ liệu truy cập website của người dùng Bước 8: Lúc này luồng dữ liệu truy cập của người dùng sẽ hiện rõ mồn một trước mắt bạn, họ gửi dữ liệu gì đi, nhận về dữ liệu gì, tất cả hiện ra ở đây
Bạn hãy chú ý tới dòng Cookie: Đây chính là nội dung cookies định danh của người dùng, thứ chúng ta đang săn tìm, có nó, ta sẽ có thể phục dựng session làm việc trên web của người dùng, và nghiễm nhiên trở thành người dùng. Hãy bôi đen nó như trong hình, nhấp phải và chọn copy Bước 9: Phục dựng Session – Cookie injection Đầu tiên, bạn bật Firefox lên và truy cập firefox. Chú ý: Bạn cần phải logout ra khỏi tài khoản facebook hiện tại. Giao diện cần được thấy như sau
Lúc này thì việc ta cần làm là chèn các giá trị cookie đã lấy được ở bước 8 vào firefox (thuật ngữ gọi là cookie injection ). Có nhiều cách để làm việc này như dùng add-on cookie manager, Cookie + , Web developer toolbar, Firecookie … . Nhưng các công cụ trên đều chỉ cho phép chỉnh từng giá trị cookie một, ví dụ như trong hình dưới đây là công cụ FireCookie
Chỉnh từng cái như thế này thì quá lâu, đến lúc chỉnh xong thì thời hạn hiệu lực của cái mớ session cookie mà chúng ta mới lấy được ở bước 8 có khi cũng đã trôi qua từ đời tám hoánh nào rồi. Do đó ta dùng add-on Grease Monkey, add-on này của firefox cho phép chạy các script nhỏ viết bằng javascript giúp ta thực hiện một số tác vụ tự động trong firefox, trong đó có việc chỉnh sửa cookie. Cái script dùng để làm công việc này được xnohat đính kèm theo bài viết này, bạn coi phần phụ lục để biết cách cài đặt add-on và script này. -------------------------- Giải thích nhiều rồi, giờ là cách dùng, đơn giản thôi, click vào biểu tượng tam giác ngược màu đen cạnh hình mẹt con khỉ ( grease monkey ) để hiện ra cái menu, click chọn Enable và click chọn Cookie Injector. Hãy chắc chắn rằng biểu tượng mẹt con khỉ đang bật sáng ( tức là hiện rõ chứ không phải mờ mờ ), nếu không, bạn click vào nó một cái cho nó bật sáng Bây giờ thì bấm tổ hợp phím Alt-C ( phím Alt và phím C đồng thời ), nó sẽ hiện ra cái khung nhỏ nhỏ như trong hình dưới (Wireshark Cookie Dump). Bạn paste cái chuỗi cookies đã copy ở bước 8 vào ô textbox của cái khung nhỏ nhỏ này rồi bấm Ok
Sau khi bấm Ok, quá trình inject cookie sẽ mất vài giây, khi script chạy xong thì nó sẽ hiện ra bảng thông báo như hình sau
Bước 10: Đặt con trỏ chuột vào thanh address bar và bấm enter để trang được load lại . Chú ý: bấm F5 đôi khi không hiệu quả vì vậy hãy làm như tôi nói Xong, kết quả là bạn đã chiếm được phiên làm việc web này của người dùng, bây giờ bạn chính là người dùng !
Phụ lục: Cài đặt Grease Monkey và cài user script Cookie injector 1.Cài Grease Monkey Bật Firefox, vào menu tool ( ai dùng FF5 trở lên mà không thấy cái thanh menu bar thì bấm phím Alt thì nó sẽ hiện ra ), vào tiếp mục Add-on
Bây giờ bạn gõ vào khung Search all add-on ( trên cùng bên phải ) nội dung: Grease Monkey như trong hình. Click nút install ở mục Greasemonkey được tìm thấy, đợi FF cài đặt addon rồi bấm Restart now để khởi động lại Firefox 2.Cài đặt user script Cookie Injector Bạn đến thư mục đã tải về script Cookieinjector.user.js (trong file nén) mà xnohat đính kèm theo bài viết này. Giải nén lấy file Cookieinjector.user.js .Nắm và kéo thả file Cookieinjector.user.js vào cửa sổ Firefox như trong hình
Sẽ có một cửa sổ yêu cầu cài đặt hiện ra như dưới đây
Click nút install Xong, bạn đã cài đặt thành công script cookieinjector. Bạn vào facebook.com rồi bấm Alt-C xem có hiện lên cửa sổ Wireshark Cookie Dump như trong hình là mọi thứ đã ổn, còn không thì vui lòng làm lại từ bước đầu
xnohat – HVA -------------------------------------- Kì sau: Tấn công HTTPS Session Sidejacking dùng SSLstrip - Thịt cả Gmail lẫn Yahoo B-) ]]>
/hvaonline/posts/list/40470.html#249642 /hvaonline/posts/list/40470.html#249642 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

MrKhoai wrote:
HTTPS không phải mặc định là tại vì thêm chữ "S". Một chữ thôi nhưng server và client phải làm việc nhiều lằm.  
anh không nghĩ là server và client phải làm việc quá nhiều. nhiều site lơn trên thế giới bây giờ đã triển khai mặc định HTTPS cho nhiều dịch vụ lớn của họ. em xem thêm http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html. -m ]]>
/hvaonline/posts/list/40470.html#249646 /hvaonline/posts/list/40470.html#249646 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

mrro wrote:

MrKhoai wrote:
HTTPS không phải mặc định là tại vì thêm chữ "S". Một chữ thôi nhưng server và client phải làm việc nhiều lằm.  
anh không nghĩ là server và client phải làm việc quá nhiều. nhiều site lơn trên thế giới bây giờ đã triển khai mặc định HTTPS cho nhiều dịch vụ lớn của họ. em xem thêm http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html. -m  
Gần đây em đang bị 1 vấn đề về SSL trên website của mình Nếu sử dụng các link internal mình có thể format thành "https" được. Nhưng nếu trong website có 1 link external format là "http" thì trình duyệt sẽ báo lỗi cert. Ví dụ như Gmail cũng hay bị báo lỗi như thế này
Theo em nghĩ "https" sẽ được mở khi chúng ta vào những link yêu cầu nhập thông tin cá nhân trên 1 website là hợp lý nhất vì những trang đó ít khi kèm các link external ( ví dụ như : login, register... )]]>
/hvaonline/posts/list/40470.html#249650 /hvaonline/posts/list/40470.html#249650 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249659 /hvaonline/posts/list/40470.html#249659 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249660 /hvaonline/posts/list/40470.html#249660 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

JFS wrote:
@xnohat : Cho mình hỏi nếu bind IP cho MAC (hoặc static IP MAC tại client ) liệu cách tấn công này còn hữu hiệu không vậy xnohat ? Cain&Abel liện có poinsoning được router hay gateway không ? Thanks ! 
Trên mạng wifi thì traffic giữa client và server đều có thể bị capture quan trọng là trạng thái của Card Wifi (bạn xem lại Promiscuous mode). Đối với mạng LAN thì khó hơn vì nếu set port security trên Switch thì không có tình trạng gói tin broadcast được (nhưng các switch có tính năng này cũng tương đối mắc tiền :P). Để hiểu rõ hơn bạn có thể đọc thêm về ARP Poison ]]>
/hvaonline/posts/list/40470.html#249661 /hvaonline/posts/list/40470.html#249661 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) Trên mạng wifi thì traffic giữa client và server đều có thể bị capture quan trọng là trạng thái của Card Wifi (bạn xem lại Promiscuous mode). Đối với mạng LAN thì khó hơn vì nếu set port security trên Switch thì không có tình trạng gói tin broadcast được (nhưng các switch có tính năng này cũng tương đối mắc tiền :P). Để hiểu rõ hơn bạn có thể đọc thêm về ARP Poison   @Ky0 Có lẽ ở đây mình không chú ý đến cái wifi và trạng thái card mạng mà mình gắn nó vào LAN. Nếu dùng Static arp and gán MAC router cho client , trong LAN có 1 host bật trạng thái card mạng Promiscuous mode thì có bị poison ko ? ]]> /hvaonline/posts/list/40470.html#249662 /hvaonline/posts/list/40470.html#249662 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

JFS wrote:
Có lẽ ở đây mình không chú ý đến cái wifi và trạng thái card mạng mà mình gắn nó vào LAN. Nếu dùng Static arp and gán MAC router cho client , trong LAN có 1 host bật trạng thái card mạng Promiscuous mode thì có bị poison ko ?  
Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao? => Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff :P Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được. - Ky0 - ]]>
/hvaonline/posts/list/40470.html#249668 /hvaonline/posts/list/40470.html#249668 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 1. Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao? => Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff :P 2. Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được. - Ky0 -   1. Tất nhiên mình làm cho cả router và client , router mình có Port Security . Mình cấu hình nó theo yêu cầu của mình . 2. Mình cũng nghĩ phương pháp ngăn chặn trên là hữu hiệu nhất , nếu gói tin vẫn bị sniff nhưng giao thức là SSL thì mình nghĩ tấn công trong LAN khi đã có các cơ chế bảo mật như thế thì ok và để lấy đc Session là rất khó như đã nói ở trên . Nếu client change MAC và dùng 1 Static IP khác trong lớp thì sao nhỉ vẫn không có khả năng poision . Thanks Ky0 ]]> /hvaonline/posts/list/40470.html#249669 /hvaonline/posts/list/40470.html#249669 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) Arpwatch https://secure.wikimedia.org/wikipedia/en/wiki/Arpwatch - Giải pháp của Cisco: Switched Port Analyzer (SPAN)]]> /hvaonline/posts/list/40470.html#249671 /hvaonline/posts/list/40470.html#249671 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

JFS wrote:
1. Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao? => Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff :P 2. Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được. - Ky0 -  
1. Tất nhiên mình làm cho cả router và client , router mình có Port Security . Mình cấu hình nó theo yêu cầu của mình . 2. Mình cũng nghĩ phương pháp ngăn chặn trên là hữu hiệu nhất , nếu gói tin vẫn bị sniff nhưng giao thức là SSL thì mình nghĩ tấn công trong LAN khi đã có các cơ chế bảo mật như thế thì ok và để lấy đc Session là rất khó như đã nói ở trên . Nếu client change MAC và dùng 1 Static IP khác trong lớp thì sao nhỉ vẫn không có khả năng poision . Thanks Ky0  
=> Đoạn này hình như bạn chưa đọc kỹ :P Cơ chế quản lý kỹ càng như mình đề ra thì khả năng sniff gần như là bằng zero. => Đoạn này không hiểu ý bạn lắm - Ky0 - ]]>
/hvaonline/posts/list/40470.html#249672 /hvaonline/posts/list/40470.html#249672 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

JFS wrote:
@xnohat : Cho mình hỏi nếu bind IP cho MAC (hoặc static IP MAC tại client ) liệu cách tấn công này còn hữu hiệu không vậy xnohat ? Cain&Abel liện có poinsoning được router hay gateway không ? Thanks ! 
Đây là một khía cạnh tôi muốn đề cập tới trong thảo luận này. Khởi nguồn của vấn đề ARP Poisoning Routing ( APR ) , là việc các thiết bị trong mạng LAN không biết địa chỉ IP nào hiện đang được gán cho thiết bị có địa chỉ MAC nào. Như ta đã biết, địa chỉ MAC là duy nhất đối với mỗi thiết bị mạng. Các thiết bị trong mạng LAN khi cần biết địa chỉ IP của nhau thì chúng cần kiểm tra trong bộ nhớ của chúng (bảng ARP) nếu không thấy chúng phải "gào" lên với toàn mạng LAN để hỏi rằng "Tôi cần biết máy tính nào đang có địa chỉ IP 192.168.1.1" ( tức nó sẽ gửi đi một gói tin broadcast ARP Request ) . Khi này thiết bị nào hiện có IP là 192.168.1.1 sẽ "gào" lên trở lại với cái thiết bị vừa hỏi kia rằng nó hiện đang sở hữu IP 192.168.1.1 và nó tên là MAC add 00:01:03:02:03:08 ( hay gì gì đó, đây là ví dụ thôi - thiết bị mạng sẽ đáp trả lại gói ARP request kia bằng 01 gói tin ARP reply có chứa MAC add của nó). Vấn đề rắc rối phát sinh từ chỗ cái thằng đi hỏi thì chả biết mặt thằng nó cần tìm méo tròn ra sao để mà kiểm tra coi nó có phải là thằng đang sở hữu IP 192.168.1.1 . Nên lúc này nếu có cái thằng giả mạo mắc dịch nào đó nó to mồm hơn, nó "gào to" hơn thằng thật thì cái thằng đi hỏi sẽ chỉ nghe được câu trả lời từ thằng giả mạo mắc dịch . Thế thì thằng đi hỏi dĩ nhiên là bị xí gạt, mà bị xí gạt rồi thì có bị dụ đưa tiền nó cũng đưa :D Đặc biệt trong thực tế, khi không có thằng nảo đi hỏi vẫn có thằng rảnh việc đi vỗ vai từng thằng ( từng thiết bị mạng trong mạng LAN ) rồi bảo rằng "tao đang sở hữu IP 192.168.1.1 đó, khi nào cần thì cứ việc kiếm tao nhá", thằng kia lúc đầu không tin, nhưng bị nói mãi thì cũng phải tin ( ARP Reply flood ) Vậy thử đặt trường hợp nếu bạn cấp cho mỗi thiết bị mạng một cái danh bạ điện thoại thì sao ? ( tức là một bảng ARP ghi rõ rằng địa chỉ MAC nào sở hữu IP nào ) . Chuyện gì sẽ xảy ra B-) . Trong thực tế có áp dụng được không, khi áp dụng có thể gặp giới hạn nào không ? P/s: ai muốn coi các thiết bị mạng nói chuyện với nhau ra sao thì thử bật Wireshark như tôi đã hướng dẫn, lúc cấu hình trước khi sniff thì gõ trong phần filter là arp , thì sẽ thấy được cuộc nói chuyện của các thiết bị trong mạng, chúng rất con người :D
]]>
/hvaonline/posts/list/40470.html#249684 /hvaonline/posts/list/40470.html#249684 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

mv1098 wrote:

mrro wrote:

MrKhoai wrote:
HTTPS không phải mặc định là tại vì thêm chữ "S". Một chữ thôi nhưng server và client phải làm việc nhiều lằm.  
anh không nghĩ là server và client phải làm việc quá nhiều. nhiều site lơn trên thế giới bây giờ đã triển khai mặc định HTTPS cho nhiều dịch vụ lớn của họ. em xem thêm http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html. -m  
Gần đây em đang bị 1 vấn đề về SSL trên website của mình Nếu sử dụng các link internal mình có thể format thành "https" được. Nhưng nếu trong website có 1 link external format là "http" thì trình duyệt sẽ báo lỗi cert. Ví dụ như Gmail cũng hay bị báo lỗi như thế này
Theo em nghĩ "https" sẽ được mở khi chúng ta vào những link yêu cầu nhập thông tin cá nhân trên 1 website là hợp lý nhất vì những trang đó ít khi kèm các link external ( ví dụ như : login, register... ) 
bạn xem thêm cái này http://googleonlinesecurity.blogspot.com/2011/06/trying-to-end-mixed-scripting.html. -m]]>
/hvaonline/posts/list/40470.html#249690 /hvaonline/posts/list/40470.html#249690 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

vd_ wrote:
@mrro Xin ý kiến của mrro về nhận định ở trong blog post này http://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html Theo đó thì với tỷ lệ CPU giữa client : server thì việc client có thể làm tốn CPU của server khá nhiều. Như vậy thì chừng vài chục máy trạm là có thể làm quá tài server? DOS ở đây sẽ là DOS về CPU chứ không còn là network nữa.  
tỉ lệ đó sẽ không quá lớn (65%, như trong bài mà bạn gửi) nếu bạn sử dụng các cipher như TLS_RSA_WITH_RC4_128_SHA, với chiều dài khoá RSA là 1024-bit. đây cũng là cipher mà các trang nhiều người truy cập sử dụng. -m]]>
/hvaonline/posts/list/40470.html#249698 /hvaonline/posts/list/40470.html#249698 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249699 /hvaonline/posts/list/40470.html#249699 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)
[/URL]]]>
/hvaonline/posts/list/40470.html#249717 /hvaonline/posts/list/40470.html#249717 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249721 /hvaonline/posts/list/40470.html#249721 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)
]]>
/hvaonline/posts/list/40470.html#249747 /hvaonline/posts/list/40470.html#249747 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249751 /hvaonline/posts/list/40470.html#249751 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249752 /hvaonline/posts/list/40470.html#249752 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249754 /hvaonline/posts/list/40470.html#249754 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2)

trungdzodzo wrote:
cảm ơn anh em làm được rồi, nhưng cái cảm giác vào nhà người ta không xin phép sao sao ấy :( 
Tốt, có cái cảm giác này là rất tốt, rất quý, phải giữ lấy nó, vì còn nó thì còn phát triển được tri thức, còn không thì sẽ còn lạc lối Thử nghiệm đâu phải cứ phải đi ra ngoài quán nét, tấn công người ta. Cài thêm 1 máy ảo trên máy tính của mình, rồi thử hijack lấy session của mình cũng được vậy Còn việc chống Sidejacking. Dĩ nhiên là có cách chống, bồ hãy thử tìm hiểu rồi mang ra đây cùng bàn luận với mọi người :) ]]>
/hvaonline/posts/list/40470.html#249762 /hvaonline/posts/list/40470.html#249762 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249809 /hvaonline/posts/list/40470.html#249809 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249974 /hvaonline/posts/list/40470.html#249974 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#249992 /hvaonline/posts/list/40470.html#249992 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#250001 /hvaonline/posts/list/40470.html#250001 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1)

vd_ wrote:
@freakmind Xin bạn nói rõ hơn việc 1 cert chỉ gắn với một ip và domain? Theo tui nghĩ thì cert chỉ gắn với domain. Domain có thể có nhiều ip (load balancing). Xin nói thêm nếu arp poison + sslstrip thì attacker có thể lấy được session cookie 
mình bổ sung thêm là: --> trường hợp 1 domain ánh xạ tới nhiều IP thì nếu mỗi IP được gán cho một máy riêng biệt thì trên mỗi máy cũng cần cài đặt chung 1 cái SSL Cert của domain đó. Còn nếu chỉ có một máy lưu trữ nhiều website/domain khác nhau mà máy đó được gán nhiều IP (do có nhiều card mạng chẳng hạn) và mỗi website/domain chạy trên 1 IP riêng biệt thì vẫn có thể cài đặt nhiều SSL Cert cho từng website/domain trên cùng cái máy đó. hơi rắc rối nhỉ :p]]>
/hvaonline/posts/list/40470.html#250129 /hvaonline/posts/list/40470.html#250129 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#250164 /hvaonline/posts/list/40470.html#250164 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) /hvaonline/posts/list/40470.html#250529 /hvaonline/posts/list/40470.html#250529 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#251546 /hvaonline/posts/list/40470.html#251546 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#251553 /hvaonline/posts/list/40470.html#251553 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking

peter_nguyen1405 wrote:
Ý mình ở đây tức là bản thân thằng broadcast đã che giấu nó đi rồi. Bằng cách gán static ARP, disable Net Bios, thiết lập firewall cá nhân. Loại bỏ các gói ICMP, nói chung là làm mọi cách để tất cả mọi người trong mạng đó không thể lần ra nó, thậm chí là ping cũng không ? Thì liệu kẻ ăn cắp có thể mò ra không ?  
>>>> h 2 thằng đều gửi BROADCAST thế bạn muốn nói là A hay B ?? Nếu là A ở đây thì sẽ không bị ảnh hưởng bởi bản tin BROADCAST ( ARP ) nếu đã gán Static .
  Mượn tạm 1 hình của xnohat :^) Câu trả lời là hoàn toàn được bạn ạ .

peter_nguyen1405 wrote:
Mình hơi thắc mắc chuyện này, nếu như trong hệ thống mạng đó sử dụng cơ chế mã hoá gói tin thì có thể khắc phục được không ? Tức là mã hoá gói tin từ client --> Gateway thì liệu có khả năng vẫn bị đánh cắp thông tin ? Đối với 1 số đơn vị không có điều kiện để sở hữu các thiết bị thông minh có khả năng tránh flood ARP cũng như giả Mac, thì liệu còn cách nào để đỡ vụ này ? Nếu mình sử dụng tất cả IP động được tập trung quản lý bởi DHCP server và DNS server thì liệu có tránh được hay không ? 
Cái này phía trên a Kyo đã nói rồi bạn ạ .

Ky0 wrote:
Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao? => Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff :P Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được. - Ky0 -  
Còn nếu bạn ko có đồ switch cisco thì đành thủ công vậy . Không thì dùng DHCP Reservation. ]]>
/hvaonline/posts/list/40470.html#251605 /hvaonline/posts/list/40470.html#251605 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#251647 /hvaonline/posts/list/40470.html#251647 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#251709 /hvaonline/posts/list/40470.html#251709 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#251711 /hvaonline/posts/list/40470.html#251711 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking

peter_nguyen1405 wrote:
Hôm nay thử làm chi tiết lại các bước, mình vẫn dừng lại ở bước dựng session. Cái grease monkey của mình vẫn chưa cài được cái script như xnohat trình bày ( chưa tải được). Nhưng mình vẫn sniff được username và password trước khi nó được mã hoá thành chuỗi các con số. Chi tiết vụn vặt không cần bàn, nhưng dựa theo bạn Kill, mình thử trên 2 hệ thống, 1 là dựa vào 1 server trung gian giữa router và client. Kết quả là ko thể poison được. Nhưng khi gắn với router thì ra hết. Vì thế nên mình thắc mắc, không có cách nào mã hoá được dữ liệu trước khi nó được send (dạng plaint text) trong mạng hay sao ? Ít ra cũng phải có cách nào đỡ được chứ, trong trường hợp cấu hình static cho router và client không hiệu quả ? 
1. File tải script grease-monkey về hoàn toàn bình thường, file được đặt trên server của HVA 2. Tôi chưa rõ đoạn này "mình thử trên 2 hệ thống, 1 là dựa vào 1 server trung gian giữa router và client. Kết quả là ko thể poison được. Nhưng khi gắn với router thì ra hết." bồ thực ra muốn nói về điều gì, nên chưa thể đưa ra câu trả lời thoả đáng được. 3. Cách đỡ ? , đơn giản nhất có HTTPS , còn phức tạp hơn thì phải có các thiết bị mạng của hãng Cisco hoặc thiết lập một hệ thống đặc chủng để giám sát mạng và loại bỏ các máy tính đang thực hiện ARP Poisoning. Cách dùng HTTPS là đơn giản nhất cho người dùng thông thường tự bảo vệ mình. Các quán cafe thì có thể (hoặc nên) in ra một bảng hướng dẫn người dùng tự set static MAC add của Gateway Router lên máy mình ( rất đơn giản ) Đây là lý do tôi không viết thêm phần 3 của loạt bài như dư định ban đầu, vốn sẽ viết về các cách tấn công thông dụng nhằm vô hiệu hoá biện pháp sử dụng HTTPS. ]]>
/hvaonline/posts/list/40470.html#251729 /hvaonline/posts/list/40470.html#251729 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking

xnohat wrote:

peter_nguyen1405 wrote:
Hôm nay thử làm chi tiết lại các bước, mình vẫn dừng lại ở bước dựng session. Cái grease monkey của mình vẫn chưa cài được cái script như xnohat trình bày ( chưa tải được). Nhưng mình vẫn sniff được username và password trước khi nó được mã hoá thành chuỗi các con số. Chi tiết vụn vặt không cần bàn, nhưng dựa theo bạn Kill, mình thử trên 2 hệ thống, 1 là dựa vào 1 server trung gian giữa router và client. Kết quả là ko thể poison được. Nhưng khi gắn với router thì ra hết. Vì thế nên mình thắc mắc, không có cách nào mã hoá được dữ liệu trước khi nó được send (dạng plaint text) trong mạng hay sao ? Ít ra cũng phải có cách nào đỡ được chứ, trong trường hợp cấu hình static cho router và client không hiệu quả ? 
1. File tải script grease-monkey về hoàn toàn bình thường, file được đặt trên server của HVA 2. Tôi chưa rõ đoạn này "mình thử trên 2 hệ thống, 1 là dựa vào 1 server trung gian giữa router và client. Kết quả là ko thể poison được. Nhưng khi gắn với router thì ra hết." bồ thực ra muốn nói về điều gì, nên chưa thể đưa ra câu trả lời thoả đáng được. 3. Cách đỡ ? , đơn giản nhất có HTTPS , còn phức tạp hơn thì phải có các thiết bị mạng của hãng Cisco hoặc thiết lập một hệ thống đặc chủng để giám sát mạng và loại bỏ các máy tính đang thực hiện ARP Poisoning. Cách dùng HTTPS là đơn giản nhất cho người dùng thông thường tự bảo vệ mình. Các quán cafe thì có thể (hoặc nên) in ra một bảng hướng dẫn người dùng tự set static MAC add của Gateway Router lên máy mình ( rất đơn giản ) Đây là lý do tôi không viết thêm phần 3 của loạt bài như dư định ban đầu, vốn sẽ viết về các cách tấn công thông dụng nhằm vô hiệu hoá biện pháp sử dụng HTTPS.  
1 : Mình sẽ load cái này ngay khi có thể 2 : Mình có cấu hình thử 1 cái server làm router trung gian giữa client và router thật. Thực tế là khi làm điều này, mình không thể poison ARP được. Nói thẳng ra, thì tín hiệu luôn là Idle chứ không chuyển sang poisonous như bài viết của bạn. Do mình tập trung dữ liệu IP về máy trung gian đó hết 3 : Mình vẫn mơ màng về chỗ này, không bàn đến các vấn đề thiết bị, chỉ nói về HTTPS mà thôi. Mình nhận thấy HTTPS ngoại trừ các dịch vụ E-banking, mail, còn thì gần như đều ít sử dụng, mặc dù ưu điểm của nó là không thể chối cãi. Mình hỏi bồ chuyện này. Mình không biết các cách tấn công thông dụng mà bồ nói là gì, nhưng nếu sử dụng HTTPS ( như kiểu FB và Zing đang sử dụng), việc tấn công dựa vào flash player có thực thi được không ? Nếu được, thì theo bồ có cách nào hạn chế nó không ? ]]>
/hvaonline/posts/list/40470.html#251738 /hvaonline/posts/list/40470.html#251738 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#251756 /hvaonline/posts/list/40470.html#251756 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#251929 /hvaonline/posts/list/40470.html#251929 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#253030 /hvaonline/posts/list/40470.html#253030 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#253104 /hvaonline/posts/list/40470.html#253104 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking

lanhchuachaplin wrote:
gần 1 năm rồi e mới quay lại hva mà gặp đc bài của anh xnohat viết quá chi tiết :x em chưa thử nhưng cách này chỉ vào đc fb của người khác chứ không lấy được pass đúng ko ạ? Và nếu người kia đổi pass thì mình cũng phải đợi cơ hội để hack lại, còn cookies cũ thì ko dùng đc nữa có đúng không anh? 
Theo mình nghĩ thì ! nếu victim mà đổi password thì cookie cũng sẽ đổi theo ! nên mình sẽ làm lại từ đầu theo bước của bạn xno để lấy cookie mới :D]]>
/hvaonline/posts/list/40470.html#253105 /hvaonline/posts/list/40470.html#253105 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#253117 /hvaonline/posts/list/40470.html#253117 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#253118 /hvaonline/posts/list/40470.html#253118 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#261691 /hvaonline/posts/list/40470.html#261691 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking

tuyenhva wrote:
@xnohat: có thể nêu một số gợi ý để vượt qua https được không :) 
Các dạng tấn công kiểu này đều dựa trên MITM attack. Bạn tìm hiểu qua về nó. Quá trình chiếm quyền điều khiển một SSL bạn có thể sự dụng sslstrip để thực hiện việc này. Nói qua về cách thức chiếm quyền điều khiển một SSL 1. Lưu lượng giữa máy khách và máy chủ đầu tiên sẽ bị chặn 2. Khi bắt gặp một HTTPS URL, sslstrip sẽ thay thế nó bằng một liên kết HTTP và sẽ ánh xạ những thay đổi của nó. 3. Máy tấn công sẽ cung cấp các chứng chỉ cho máy chủ web và giả mạo máy khách. 4. Lưu lượng được nhận trở lại từ website an toàn và được cung cấp trở lại cho máy khách. ]]>
/hvaonline/posts/list/40470.html#261742 /hvaonline/posts/list/40470.html#261742 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#261767 /hvaonline/posts/list/40470.html#261767 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#262513 /hvaonline/posts/list/40470.html#262513 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking

n2v wrote:
E vẫn chưa biết làm cách nào để đăng nhập bằng HTTPS trong facebook, em đâu thấy chỗ nào ghi đăng nhập bằng HTTPS đâu. 
ặc, bác chỉ cần gõ vào thank address là: https://www.facebook.com là bác đang dùng https rồi đó. Một số trang như gmail, các địa chỉ goverment, educate thì người ta thường tích hợp sẵn ( hay còn gọi là bắt buộc ) người dùng sử dụng https để bảo mật tài khản của họ, ví dụ bác chỉ cầm bấm vào thanh address là : gmail.com thì nó sẽ tự động chuyển thành https://gmail.com . Chỉ riêng facebook thì nó có hỗ trợ https nhưng ko bắt người dùng phải sử dụng khi truy cập trang.]]>
/hvaonline/posts/list/40470.html#262873 /hvaonline/posts/list/40470.html#262873 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#273404 /hvaonline/posts/list/40470.html#273404 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#273425 /hvaonline/posts/list/40470.html#273425 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#273433 /hvaonline/posts/list/40470.html#273433 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking

minhhoangtoday wrote:
cái quan trọng là mình làm sao hack pass wifi đây xnohat :D 
BackTrack. Còn Cain thì e làm mãi ko dc. A Xnohat chỉ nun cái này cho rõ đi a. Còn trong mạng Lan thì e nghĩ cũng như wifi phải ko a? híc :-S ]]>
/hvaonline/posts/list/40470.html#273530 /hvaonline/posts/list/40470.html#273530 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#275687 /hvaonline/posts/list/40470.html#275687 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#275731 /hvaonline/posts/list/40470.html#275731 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#278450 /hvaonline/posts/list/40470.html#278450 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#278476 /hvaonline/posts/list/40470.html#278476 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#279089 /hvaonline/posts/list/40470.html#279089 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#279396 /hvaonline/posts/list/40470.html#279396 GMT Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking

tuanpro103 wrote:
Em đang hóng các phần tiếp theo :) Quá hay. Em đã làm thử theo các anh nhưng mà làm dc tới cái Wireshap ak :) Mà theo em thấy thì hình như làm như vầy khiến mạng bị chậm à. Khi em làm thì các máy tính khác truy cập facebook rất lâu, không thể load hình và khung chat. Do khi mình chuyển trung gian thì việc truyền dữ liệu chậm lại thấy rõ?  
Đương nhiên là chậm hơn rồi, vì lúc đó Cain giúp máy bạn như 1 gateway, mọi traffic phải đi qua card mạng máy bạn trước sau đó mới tới gateway thực sự. ]]>
/hvaonline/posts/list/40470.html#279756 /hvaonline/posts/list/40470.html#279756 GMT
Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking /hvaonline/posts/list/40470.html#279844 /hvaonline/posts/list/40470.html#279844 GMT