Tajemnice hakerów: jak dostać się do ukrytych danych :)

Dziś demonstracja strasznej hakerskiej sztuczki, która pozwala odczytać z dokumentu dane, których autor wolałby nie ujawniać. Bójcie się!

W roli tajnych danych gościnnie wystąpił payload do jednego z moich przykładów z przewodnika po bezpieczeństwie aplikacji internetowych, który zawiera w sobie SQLi i XSS z (trywialnym) obejściem filtra anti-XSS w Google Chrome.

Wyjaśnienie: czytam sobie ja spokojnie instrukcję obsługi pewnej aplikacji, w której screeny były zaciemnione w ten właśnie sposób. Miałem wiele radości, choć “wartość” zaciemnionych danych była przyzerowa. I nie wiem, czy bardziej śmieszy mnie ten przykład, historia o tym, jak nieumiejętnie “zaciemniono część danych” w udostępnianych dokumentach (patrz np.: Niedokładna “cenzura” PDF-a ujawnia zastrzeżone informacje), czy może przypadek odwrotny, w którym dane z dokumentów papierowych zostały usunięte zbyt dokładnie (Nie mogę znaleźć teraz informacji na temat tego ostatniego przypadku. Coś mi się jednak po głowie kołacze, że pewna agencja tak skutecznie zamazała dane w dokumentach w obawie przed ich opublikowaniem, że teraz sama nie jest w stanie ich odczytać.).

Z podobnych akcentów humorystycznych: Jak nie ukrywać swojej twarzy.

Oryginał tego wpisu dostępny jest pod adresem Tajemnice hakerów: jak dostać się do ukrytych danych :)

Autor: Paweł Goleń