A logok titkai

2007.10.30. 14:53 | buherator | 13 komment

Kicsit elszégyelltem magam, miután elolvastam a legutóbbi poszot a Hacker Webzine-en, amiben Ronald azt ecseteli, hogy miként tudná megtörni a Microsoftos kollegák SharePoint szerverét. Az arcpirító a dologban egyrészt az, hogy a módszer végtelenül primitív, nekem mégsem jutott eddig eszembe, a rosszab viszont az, hogy nem is védekeztem ellene soha, bár ezzel ahogy látom nem vagyok egyedül....

A lénygre térve: ma éppen kaptam egy kedves levelet egy olvasótól, amiben egy link volt mellékelve, amire nyugodt szívvel rá is kattintottam. Ki kell ábrándítsam azokat, akikben felébredt a vírusvadász, nem valami trükkös gonosz szkript futott le a gépemen, megkerülve a NoScriptet, meg a Linux autentikációs mechanizmusait, ennél sokkal prózaibb a helyzet. Ha ugyanis történetesen a kedves levélíró valójában egy gonosz gazficó, aki monitorozta az oldalára érkező látógatók refererjeit, akkor egy pillanat alatt megszerezhette a webmailemhez tartozó aktuális session azonosítót!

Tanúlság: kapcsoljuk ki a referer küldését a böngészőnkben! Firefox alatt az about:config oldalra navigáva a network.http.sendRefererHeader értékét kell ehhez 0-ra állítanunk. Esetleg felinstallálhatjuk ezen kiegészítések valamelyikét, hogy jobban testreszabhassuk a böngésző referer küldési szokásait. Nem mellesleg a referer hamisítás alkalmas lehet sql injection vagy xss támadások kivitelezésére is, ha meglátogatott weboldal lognézegetője hibásan van megvalósítva.

Facebook Tumblr Tweet Pinterest Tetszik

Címkék: referer

Kommentek:

A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mork 2007.10.30. 18:13:24

hmm, tudtommal jópár webes alkalmazás használja a referrert, hogy ellenőrizze, hogy átmentél-e az előző oldalakon. Gond lehet, ha minden site-on elutasítod a referrert.

Válasz erre

amondó (törölt) 2007.10.30. 18:45:11

vagy ha nem akar buherálni az ember, akkor a levélben található linkre jobb gomb, "copy link location", ctrl-T, és ctrl-V. És akkor nem kell extension, a referrer mégse megy át. Vagy tévedek?

Így egyéb trükkös linkek könnyebben kiszűrhetőek.

Válasz erre

Beluschka 2007.10.30. 19:39:01

nem mintha kötözködni akarnék, de ez a probléma kizárólag a webes alkalmazás hibája. Ugyanis egy jól megírt webes alkalmazás lekezeli a problémát többszörös ellenőrzéssel, vagy egy egyszerű redirectorral, amin keresztül hívja meg a külső url-eket. Amelyik webes cucc a referert használja bármire is, az elég gáz. Pár éve a gmailben is volt egy hasonló gond, de gyorsan javították.
Szóval manapság nem lenne egyszerű találni olyan webes alkalmazást, amelyet így át lehet verni, nem kell túlságosan aggódni :)

Válasz erre

Kókai László 2007.10.30. 20:01:11

Még egy ok, hogy hagyományos email klienst használjon az ember...

Válasz erre

Oguz 2007.10.30. 20:19:48

Én meg egyáltalán nem kattintok kedves, ám ismeretlen olvasók által emilben küldött linkekre. Ami azt illeti isemrősök által emilben küldött linkekre sem kattingatok. Ilyen egyszerű.

Válasz erre

Rambo · http://antivirus.blog.hu 2007.10.30. 21:03:17

Szia!
Gyaloghacker lapja kinullázódott, tudsz valamit a dologról?

Válasz erre

buherator · http://buhera.blog.hu 2007.10.30. 21:04:07

Nem elsősorban a webmail rendszerekkel van a baj, azokra manapság leginkább sütivel lehet bemenni. Viszont a Google szerint több mint 23 millió olyan oldal van, ahol URL-ben adják oda a PHPSESSID-t példának okáért, de persze ezek általában nem is kifejezetten népszerűek.

A referert ellenőrző alkalmazások meg simán átverhetők ha kell.

Válasz erre