[Review] Abusing web browsers for fun and profit

Logo Voxxed Days Luxembourg

[Review] Abusing web browsers for fun and profit

Dominique Righetto était présent au Voxxed Days 2016 à Luxembourg. Son objectif était de nous faire comprendre comment à partir d’un navigateur, on peut récupérer une information et la détourner.

 

Un « penetration tester » comme Dominique Righetto, passe par 4 phases pour atteindre son but :

  1. La phase de reconnaissance : il s’agit de la phase la plus intéressante et la plus longue. Durant celle-ci, il récupère un maximum d’informations sans se faire démasquer.
  2. La phase de préparation
  3. La phase d’attaque
  4. La phase de nettoyage

 


Comment ça marche ?

Après avoir créé une application web basée sur des plugins en JavaScript, Dominique Righetto envoie son URL à ses victimes de 2 manières différentes :

  • Par email : dans la majorité des cas, 30 % tombent dans le piège et cliquent !
  • En compromettant un intranet et en y introduisant son lien dans une des pages.

 

Une fois la page visitée, chaque plugin JavaScript est responsable de collecter toute une série d’informations qui seront ensuite envoyées sur l’espace de stockage du « penetration tester ».

 

Ensuite, un malware adapté en fonction des caractéristiques récoltées sera envoyé à la victime. Si la victime clique, l’attaque réussit et l’échange d’informations démarre !

 

Support de conférence :

 

 

 

Jordan Bellenger
No Comments

Post a Comment

Comment
Name
Email
Website