Discussione: Exploit per Vbulletin 3.5.4 ?

Sapevo che questo sarebbe venuto per prossimo

Generalmente no. Un file GIF, o una qualsiasi immagine, deve contenere i codici per mostrare l'immagine. Però ... per fare una cosa del genere, si può ricorrere a un trucchetto all'interno dello script, con un semplice redirect all'immagine, dopo aver fatto tutto ciò che si voleva fare, ad esempio:

Codice PHP:

<?php
// scrivi qui tutto che vuoi
mail(
"nessuno@example.com",
"oggetto",
$messaggio,
"From: webmaster@{$_SERVER['SERVER_NAME']}\r\n" .
"Reply-To: webmaster@{$_SERVER['SERVER_NAME']}\r\n" .
"X-Mailer: PHP/" . phpversion()
);
 
// termina script con la visualizzazione dell'immagine
header("Location: http://www.{$_SERVER['SERVER_NAME']}/image.gif");
die();
?>

In questo modo, l'immagine viene mostrato e il browser non si accorge di nulla, tanto meno l'utente.

Ora, per tranquillizzare, ci sono due o tre cose da dire:

• I cookie di vbulletin non espongono la password in chiaro, ma elaborato con il Message Digest 5, esattamente come si tova all'interno del database, e non svela il nome dell'utente. Più esattamente non svela nulla.
• Chi volesse ricostruire la password, dovrebbe sapere come viene composta, e poi tentare tutte le possibili combinazioni. Per una password lunga di 7 caratteri, e con i processori a disposizione oggi, questo calcolo durerebbe almeno una settimana, se non più, escludendo una qualsiasi operazione in parallelo (PC dedicato). Dopo aver ottenuta la password, è necessario accedere al database degli utenti (elenco membri) e provare l'accesso. Dopo 5 accessi errati, il giochino è bloccato per almeno 15 minuti. Per forum con 2000 utenti, il gioco dura 100 ore, ossia 4 giorni e 4 ore.
• Un pirata che entra, comunque non può fare molto danno, perché, ad esempio, la email non può essere cambiata senza che il titolare legittimo lo viene a sapere (solo se la conferma email è abilitata). Al massimo può fare un po' di disordine.
• Se vi arriva un'email che vi avvisa che state cambiando il vostro indirizzo, senza averlo fatto, o trovare le vostre cose in disordine, avvisate subito l'amministratore del forum per bloccare l'accesso.
• Non viene inviato alcun dato di altri siti visitati nella stessa sessione del browser. Se cliccate ad esempio su un'immagine preparata qui (ipoteticamente), verranno inviati soltanto i cookie di vbulletin.it

Per allarmare:

• Lo script potrebbe mostrare una maschera per sollecitare il cambio della password: NON FARLO!!!
• Vale anche per altri dati, come ad esempio il numero della carta di credito.

Originariamente Scritto da Sergio

Il limite dell'Exploit quindi sta solo nel caricare l'immagine sul server al quale deve "rubare" i cookies e quindi diventa pericoloso fare allegare le immagini.

Di per sé allegare immagini non è pericoloso, perché vBulletin è abbastanza tutelato (prova allegare un *.gif). Il problema nasce però se il testo o la firma contiene immagini prelevati da altri siti, o loro collegamenti.

Più esattamente, i file *.gif e collegamenti a pagine statiche e dinamiche sono affetti da questo problema, quindi potrebbe diventare impossibile navigare senza essere continuamente spiati.

E infatti questo sta succedendo già da molto tempo in modo più o meno trasparente. Prendiamo ad esempio adwords di Google. Il meccanismo di Google offre una grossa privacy, ma alcune caratteristiche sono basate sulla manipolazione dei cookie tramite uno script java, che viene inviato a Google, mentre si va ad accedere una pagina, che prontamente ci suggerisce cosa comprare per prossimo

L'unico nostro grande vantaggio è, che questi servizi nascosti richiedono una potenza di calcolo al di fuori della portata economica di una qualunque azienda piccola-media-grande. Soltanto i Multinazionali e Governi si possono permettere tale lusso, e questi fanno uso abbondante di questa tecnologia, ve lo garantisco