6.2 Content Spoofing / Text Injection
Content Spoofing
Jde o vložení libovolného textu na webovou stránku zranitelné aplikace, který ovšem nelze povýšit na vážnější útok jako je XSS, SSTI nebo HTML injection. Ačkoliv má tento útok omezený přímý dopad na aplikaci jako takovou, může být zneužit pro sociální inženýrství.
Jak funguje v praxi
Představte si, že je text (zadaný jako parametr v URL) pouze vypsán na obrazovku, aniž by byl interpretován jako HTML kód (všechny značky jsou správně encodovány, takže <script> se vykreslí jen jako text, neprovede se).
Riziko pro sociální inženýrství
I když nedochází ke spuštění javascriptu, samotná zpráva se pro oběť tváří naprosto legitimně. Je umístěna na správné (důvěryhodné) doméně (např. stránce banky nebo instituce), funguje u ní HTTPS šifrování a je vystaven platný TLS certifikát. To výrazně zvyšuje důvěru oběti ve zobrazený obsah.
Příklad útoku
Útočník vygeneruje odkaz směřující na zranitelnou bankovní aplikaci s podstrčeným varovným textem:
Pro ztížení analýzy odkazu na první pohled a zakrytí payloadu může útočník provést silnou ofuskaci například pomocí URL encodingu pro každý znak zprávy (např.
https://banka.cz/chyba?zprava=Vazeny-kliente,-vas-ucet-byl-zmrazen.-Prosim-zaslete-100-CZK-na-ucet-12345-pro-odblokovani.Pro ztížení analýzy odkazu na první pohled a zakrytí payloadu může útočník provést silnou ofuskaci například pomocí URL encodingu pro každý znak zprávy (např.
%56%61%7a%65%6e%79...).