» Poradna » Web a internet

Browser DOM manipulácia cez proxy

 |   |  Android Chrome 72.0

Zdravím , robím v jazyku autoit jeden program , riešim napojenie autoitu na používaný chrome browser , zistil som že sa dá použiť iba externý driver ako selenium ale to mi je k ničomu ... Nakoniec som sa rozhodol o celkom inú metódu a to ovplivnovat dom na lokálnej sieti prostrednictvom dns changingu resp zmenenej proxy a mitb metódy (mám in the Browser). Myslím že niečo podobné robí aj ARP útok. Mne ide o to spraviť externý adblock , to znamena

Odpovědi na otázku

 |   |  Android Chrome 72.0

Pokračovanie omylom som klikol na odoslať .. externý adblock to znamená adblock ktorý bude pracovať mimo Browser takže žiadne js rozšírenia do browseru . Ako funguje dom manipulácia prostredníctvom mitb? Chcem aby sa zobrali get element by ID Google reklám na všetkých weboch a odstránili ich . Takéto rozšírenie viem spraviť v js ale neviem ako pomocou proxy resp mitb

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 66.0

Inu MITB by vlastně znamenalo vytvořit vlastní rozšíření, neboli vlastně přímou konkurenci adblocku.Manipulovat s DOM někde na cestě není při HTTPS možné, navíc ty elementy s reklamami jsou v drtivé většině případů umístěny na stránku javascriptem až při načtení stránky v prohlížeči.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0

Díky za odpoveď.Poznám človeka ktorý cez proxy server spravil aby sa mu sťahoval do Pc každý obrázok ktorý je na stránke ktorú navštívil . Alebo existujú aj napr malware ktoré napr pri kliknutí na submit tlačítko ukážu js pop-up okno a pritom sa obeť nachádza na originálnej stránke kde je lokálne nainštalované sslko . Takže ak ide spraviť script ktorý sťahuje automaticky všetky obrázky s každej navstivenej stránky tak by aj adblock mohol ísť . Či? Nemyslím úprava http packetov v reálnom čase skôr aby sa tak stránka už načítala . Ešte viem že toto využívajú aj iné malware ako napríklad tie ktoré vložia js browser minera do každej stránky ktorú obeť navštívi takže ten adblock musí byť teoreticky možný nie?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 66.0

Tyto malware v drtivé většině případů fungují tak, že přidávají do prohlížeče svoje rozšíření, se kterým mají přístup k obsahu stránek. Tím způsobem také funguje adblock apod.Stahovat navštívené obrázky je velmi jednoduché, jejich adresy nejsou nijak šifrované a stáhnout si je může kdokoliv. Tady by se ale jednalo o podstrčení upravené stránky což je z hlediska provedení i bezpečnosti něco diametrálně odlišného.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0

Tak napríklad bankový trojan Zeus spôsobuje to že obeťi po stlačení submit butonu v login forme na stránke banky vyskočí pop-up okno bez toho aby obeť mala v Chrome či inom browsery nejaké rozšírenie , a tiež sa obeť nachádza na originálnej stránke ebankingu iba útočník resp malware ju upravuje cez mitb . To znamená že ten externý adblock by tiez mohlo byť možné spraviť , nie?Ja by som chcel ideálne napichnut autoit na originálny Chrome ktorý užívateľ používa , takže externé execko ktoré by vedelo komunikovať s originálnym chromom. Bohužiaľ autoit vie defaultne komunikovať iba s extern IE driverom čo mi je na nič , tiež aj u ostatných jazykoch som našiel že viem ich napojiť Iva na externý driver browser ako selenium alebo gecko driver čo mi je na nič lebo ja nepotrebujem spraviť appku ktorá bude využívať svoj externý driver browser ale chcem aby sa napojila na dom už existujúceho chromu. Viem že zvicajne sa na toto používajú rozšírenia ktoré sú priamo v Chrome nainštalované ale ja to chcem spraviť aby to ficalo mimo browser extentions.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Unknown AppleMAC-Safari 5.0

Ano, Zeus to umi. Proto je take klasifikovan jako malware. Pokud bys stejne chovani naucil svuj AutoIt, zarazil by te antivirus/antimalware (narozdil od zde rozsirene povery nejsou antiviry zbytecne).Na ceste pres proxy to taky neudelas, kvuli SSL/TLS. Takze ti zbyva lokalni proxy s vynucenym vlastnim certifikatem, tj. to co delaji ostatni nastroje, ktere potrebuji prohlizet lokalni webovy provoz. Ale kdyz uz bys delal tohle, tak uz mas vyrazne jednodussi udelat to rozsireni do prohlizece.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0

No bingo v pôvodnom dotaze som myslel lákalne spustiť proxy server a lokálne doinsta lovat SSLko. Ale ako to všetko funguje? A ako pomocou tohto manipulovať lokálne DOM ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 66.0

Je to "jednoduche" - proste musis zprovoznit lokalni proxy, ktera bude terminovat TLS a misto nej sifrovat novym certifikatem. Ten musis vnutit lokalnimu prohlizeci. Firefox ma vlastni uloziste certifikatu, Chrome a Edge pouzivaji to z Windows. Musis ten svuj certifikat nainstalovat jako korenovy. Pokud uz tohle nejaky nastroj dela (treba nejaky AV balik, musis se s nim o to "poprat").Pri kontaktovani toho vzdaleneho serveru nesmis zapomenout na dulezite bezpecnostni hlavicky tykajici se HSTS, cert pinning apod., abys neohrozil koncoveho uzivatele (normalne se o to stara prohlizec, ale ted to bude muset delat ta tvoje proxy). No a az tohle vsechno budes mit, tak uz tvoje proxy uvidi nesifrovany provoz. Manipulace s DOM je v porovnani s vecmi, ktere jsem uz zminil, v podstate trivialni. Takze az budes mit funkcni tu proxy, tak nejakou drobnou manipulaci s DOM zvladnes levou zadni.Jo a nezapomen ten prohlizec na tu proxy nasmerovat a zabranit uzivateli, aby ji zmenil.Az to zkusis napsat, tak mozna pochopis proc bezpecnostni firmy zamestnavaji cele tymy programatoru a analytiku. A stejne jim to obcas nefunguje na 100%, pripadne jim Microsoft "pod rukama" zmeni chovani nejakeho API, takze to prestane fungovat. A pak jsou v diskusi hlasky "nastroj X je k nicemu, blokuje prisup na Internet".Hodne stesti!

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0

Super , ďakujem aspoň niekto kto sa v tom vyzná. Existuje prosím nejaké POC tutorial lebo vôbec netuším ako to spraviť ani prakticky a tiež ani teoreticky . Nejaký video prípad poprípade čo mám googlit . Jeden človek podobnú vec robil tiež cez proxy , odpísal mi toto citujem: "Tak na to je lepsie si spravit proxy server (co je defakto program beziaci na pozadi, ktory sa sa ako proxa aj sam zaregistruje), ja som sa niecim podobnym hral, ale na automaticke stahovani obrazkov zo stranok, ktore som navstivil.U mna to bolo cez Titanium Web Proxy a AngleSharp. " Problém je ten že vôbec netuším ako to funguje a ako to spraviť .

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Firefox 66.0

Když to je těžké, to je jako hledat návod jak postavit raketu. Tohle s absencí znalostí (evidentně i těch nejzákladnějších) prostě nepůjde.

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 7 Firefox 60.0

Prosim, muzes zacit treba tady: https://www.autoitscript.com/forum/topic/164696-local-... Snaha napsat v AutoIt funkcni HTTPS proxy ma asi stejnou sanci na uspech jako snaha postavit vznasedlo na pustem ostrove se tremi palmami.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0

To je síce pekné , tak ako to robiť tak aby som mal nejakú šancu to zvládnuť? Čo použiť ten titanium proxy či ako nsanto volá alebo ten angel sharp ? Ževraj to ku každej doméne automaticky priradí a vygeneruje sslko. Nemusím naprogramovať svoj vlastný proxy server nie? Či? Povedzme že si nainstalujem nejaký ten komerčný proxy server a nejako ho nastavím , ako ho spojím a prog.jazykom ? Alebo keď mám ten proxy tak ako manipulovať s DOM? Chcel by som to najprv skúsiť na nejakom komerčnom proxy servery a spraviť to tak, potom budem riešiť svoj vlastný.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0

Ešte toto mi povedal jeden programátor .citujem:"Na prve experimenty sa da pouzit https://www.telerik.com/fiddler vies si v nom (asi v Lue naskriptovat preposielani requetov atd...).Co sa taky certifikatov, tak musis importovat certifikat do Trust rootov, a tymto certifikatom (jeho privatnym klucom) podpisovat adhok certifkaty pre domeny ktote nasvtevujes a importovat ich do do storu pred nacitanim stranky." Takže nie všetci to vidia tak čierno

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 7 Firefox 60.0

To s temi certifikaty je presne stejne, jako jsem ti napsal ja. A co se tyka Fiddleru, je to jeden z mnoha zpusobu, jak to udelat. Ale ja mel za to, ze to chces udelat v AutoIt ?Navod kompletni reseni ti nikdo nenapise. Nezbude ti nez vyhrnout rukavy, zkouset ruzne nastroje a ucit se napsat si vlastni. Tom nejlip zjistis, jak tezka je to uloha.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0

Nie nemusí to byť v autoit , v autoit som chcel napojenie na DOM chromu bez použitia drivera . Nakoniec sa to ukázala ako nemožná úloha pre všetky jazyky, tak si zisťujem info o tom proxy dom spôsobe . Nemôže to byť tak ťažké , obyčajne nastavenie proxy servera a priradenie SSL certifikátov , potom ovplivnivat dom nebude problém. Škoda že som na internete nenašiel jediný example ako urobiť takýto mitb script. Mne veci stačí ukázať raz , potom je to pre mňa jednoduché , bohužiaľ nikde nič . Robím algotrading to zn programujem automatické obchodné systémy , kde využívam viac vrstvove neuronove siete (machine learning blackpoint algoritmu) Takže nejaká primitívna proxyna určite nemôže byť problém, bohužiaľ na túto mitb tému sú iba manuálne radoby hackerské tutoriali ale nikdo neukáže ako spraviť mitb script. Ta samotná funkcionalita je pre mňa už hračka , myslím že sa to potom nebude moc líšiť od ovplivnovanie dom v externom driver browsery (čo zvládam ľavou zadnou) .

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Microsoft Windows 10 Chrome 59.0.3071.112

Složitost není věcí jazyku, ale věcí principu co to vlastně musí dělat. Takže je to ve všech jazycích podobné. Sice v jednom budeš psát IF, ve druhém FI, ale funkci to musí dělat stejnou.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | Microsoft Windows 10 Chrome 73.0.3683.86

Proč nepoužít https://pi-hole.net/ ?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Android Chrome 72.0

Mne nejde o použitie hotového blokatora , mne ide o naprogramovanie . Ale ďakujem .

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: AdBlock, Útok


Určitě si přečtěte

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

Už desítky let se pokoušíme odposlouchávat mozek. Rusům se podařil kousek, ze kterého vám spadne brada

** K odposlechu mozků používáme EEG ** To má ale žalostné informační rozlišení ** Rusům pomohla počítačová neuronová síť

Jakub Čížek | 28

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

Google dosáhl revolučního milníku v kvantové nadvládě. IBM ale nesouhlasí

** Google představil nový kvantový čip s 53 qubity ** Oznámil, že díky němu lidstvo poprvé dosáhlo kvantové nadvlády ** IBM toto tvrzení zlehčuje

Karel Javůrek | 15

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

Biblická potopa Česka: Jak bychom dopadli, kdyby nás zatopil oceán

** Představte si biblickou potopu ** Nejprve zaniknou Děčín a Břeclav, pak i Brno a Praha ** Hlavním městem se stane Jihlava a zbytky Čechů přežijí na Kvildě

Jakub Čížek | 92

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

3D tisk pro naprosté zelenáče: Co vyrobíte na laciném stroji za pár tisíc korun

** Domácí 3D tisk je dnes už finančně dostupný prakticky všem ** Lacinou tiskárnu pořídíte za pár tisíc korun ** Jak vlastně tisk probíhá a jak navrhnout, co vytisknout

Jakub Čížek | 66

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

Zorin OS 15: Vyzkoušejte další hezký a nenáročný linux pro mamku a taťku

** Ačkoliv je grafických linuxů plný internet, stále vládnou Windows ** Jeden z nich se jmenuje Zorin OS a nedávno se dočkal aktualizace ** Dělají jej dva kluci z Irska a je fakt hezký

Jakub Čížek | 115

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

** Je sice z Aliexpressu, ale funguje ** Můžete ji ovládat hlasem přes Amazon Echo nebo Google Home ** Za tři stovky zautomatizuje menší 230V spotřebič

Jakub Čížek | 101


Aktuální číslo časopisu Computer

Megatest 20 procesorů

Srovnání 15 True Wireless sluchátek

Vyplatí se tisknout fotografie doma?

Vybíráme nejlepší základní desky