Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A logok titkai

2007.10.30. 14:53 | buherator | 13 komment

Kicsit elszégyelltem magam, miután elolvastam a legutóbbi poszot a Hacker Webzine-en, amiben Ronald azt ecseteli, hogy miként tudná megtörni a Microsoftos kollegák SharePoint szerverét. Az arcpirító a dologban egyrészt az, hogy a módszer végtelenül primitív, nekem mégsem jutott eddig eszembe, a rosszab viszont az, hogy nem is védekeztem ellene soha, bár ezzel ahogy látom nem vagyok egyedül....

A lénygre térve: ma éppen kaptam egy kedves levelet egy olvasótól, amiben egy link volt mellékelve, amire nyugodt szívvel rá is kattintottam. Ki kell ábrándítsam azokat, akikben felébredt a vírusvadász, nem valami trükkös gonosz szkript futott le a gépemen, megkerülve a NoScriptet, meg a Linux autentikációs mechanizmusait, ennél sokkal prózaibb a helyzet. Ha ugyanis történetesen a kedves levélíró valójában egy gonosz gazficó, aki monitorozta az oldalára érkező látógatók refererjeit, akkor egy pillanat alatt megszerezhette a webmailemhez tartozó aktuális session azonosítót!

Tanúlság: kapcsoljuk ki a referer küldését a böngészőnkben! Firefox alatt az about:config oldalra navigáva a network.http.sendRefererHeader értékét kell ehhez 0-ra állítanunk. Esetleg felinstallálhatjuk ezen kiegészítések valamelyikét, hogy jobban testreszabhassuk a böngésző referer küldési szokásait. Nem mellesleg a referer hamisítás alkalmas lehet sql injection vagy xss támadások kivitelezésére is, ha meglátogatott weboldal lognézegetője hibásan van megvalósítva.

Címkék: referer

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

mork 2007.10.30. 18:13:24

hmm, tudtommal jópár webes alkalmazás használja a referrert, hogy ellenőrizze, hogy átmentél-e az előző oldalakon. Gond lehet, ha minden site-on elutasítod a referrert.

amondó (törölt) 2007.10.30. 18:45:11

vagy ha nem akar buherálni az ember, akkor a levélben található linkre jobb gomb, "copy link location", ctrl-T, és ctrl-V. És akkor nem kell extension, a referrer mégse megy át. Vagy tévedek?

Így egyéb trükkös linkek könnyebben kiszűrhetőek.

Beluschka 2007.10.30. 19:39:01

nem mintha kötözködni akarnék, de ez a probléma kizárólag a webes alkalmazás hibája. Ugyanis egy jól megírt webes alkalmazás lekezeli a problémát többszörös ellenőrzéssel, vagy egy egyszerű redirectorral, amin keresztül hívja meg a külső url-eket. Amelyik webes cucc a referert használja bármire is, az elég gáz. Pár éve a gmailben is volt egy hasonló gond, de gyorsan javították.
Szóval manapság nem lenne egyszerű találni olyan webes alkalmazást, amelyet így át lehet verni, nem kell túlságosan aggódni :)

Kókai László 2007.10.30. 20:01:11

Még egy ok, hogy hagyományos email klienst használjon az ember...

Oguz 2007.10.30. 20:19:48

Én meg egyáltalán nem kattintok kedves, ám ismeretlen olvasók által emilben küldött linkekre. Ami azt illeti isemrősök által emilben küldött linkekre sem kattingatok. Ilyen egyszerű.

Rambo · http://antivirus.blog.hu 2007.10.30. 21:03:17

Szia!
Gyaloghacker lapja kinullázódott, tudsz valamit a dologról?

buherator · http://buhera.blog.hu 2007.10.30. 21:04:07

Nem elsősorban a webmail rendszerekkel van a baj, azokra manapság leginkább sütivel lehet bemenni. Viszont a Google szerint több mint 23 millió olyan oldal van, ahol URL-ben adják oda a PHPSESSID-t példának okáért, de persze ezek általában nem is kifejezetten népszerűek.

A referert ellenőrző alkalmazások meg simán átverhetők ha kell.

buherator · http://buhera.blog.hu 2007.10.30. 21:46:00

Gyaloghackerről nem tudok, el van tűnve mostanában. Remélem csak a dizájnt heggeszti.

Bambano 2007.10.30. 22:24:12

A referer bug nagyjából 8 éve ismert. Akkoriban webmail postafiókokat lehetett kinyitni vele.

diab 2007.10.30. 23:11:39

session id -hez normalis esetben kotodik az ip (sot, az x-forwarded-for is, ha proxy..) igy masnak nem er semmit.

0xFFFF 2007.10.31. 03:23:49

Buherátor.

A session id csak esztétikai okok miatt nem népszerű, jól elkészített oldalak esetén semmit nem tudsz kezdeni vele.

mukka · http://pozor.hu 2007.10.31. 09:16:07

>>session id -hez normalis esetben kotodik az ip
ip-spoofinggal megkerulheto

buherator · http://buhera.blog.hu 2007.10.31. 13:31:53

0xFFFF

A session id-t nem viccből használják, tehát valamit általában lehet kezdeni vele...