• 2 رای - 5 میانگین
  • 1
  • 2
  • 3
  • 4
  • 5
سرقت اطلاعات و Session hijacking توسط Avatar
#1
نمیدونم داشتم چکار میکردم که یهو افتادم دنبال این مسله Big Grin

دیدید بعضی از سایت ها و انجمنها یه قسمت واسه تغییر Avatar(آواتار) پروفایل دارن؟ (اونم بصورت remote url)
و دیدید بعضیها(حتی شما! Big Grin) کوکی، session و همه جدو آباد login رو داخل URL در نوار آدرس مرورگر هی اینور و اونور میبرن؟ (get می کنن...) ؟

خب بذارید یه چیز ساده ولی خانمان خراب کن بهتون نشون بدم تا دیگه از اینکارا نکنید! Angel


یه نگاهی به پروفایل من در انجمن SMFpacks.com بندازید:
http://smfpacks.com/mlist/y-p-y_38728
حالا یه نگاهی به آخرین اطلاعات ثبت شده در این سایت بندازید:
http://yousha.byethost4.com/data.txt
تبریک، اطلاعات اولیه تون سرقت و ثبت شد!
در صورتی که هیچ چیز غیر عادی بجز یک عکس در پروفایلم وجود نداشت

حالا یه نگاهی به پروفایل من در انجمن SMFhacks.com بندازید:
http://smfhacks.com/index.php?action=profile;u=13430
بعد یه نگاهی به آخرین اطلاعات ثبت شده در این سایت بندازید:
http://yousha.byethost4.com/data2.txt
باز هم میبینید که اطلاعات اولیه تون سرقت و ثبت شده! در صورتی که هیچ چیز غیر عادی حتی عکسی در این پروفایل من وجود نداره (البته به ظاهر، چونکه عکس کوچیک و سفید هستش)


چرا؟ چطوری؟
اینه:
1- انجمن ساز SMF اجازه قراردادن تصویر آواتار بصورت Remote رو میده
2- هیچگونه محدودیتی برای نوع فایل قرار داده شده وجود نداره
3- هیچگونه بررسی هم برای تشخص سلامت داخلی تصویر انجام نمیده
اینطوری میشه که هکر براحتی هر فایلی با هر پسوند و محتوایی رو که بخواد می تونه بر روی سایت قرار بده و تمام بازدیدکنندگان رو قربانی کنه


این واسه قسمت اولش بود، حالا قسمت دومش، Session Hijacking و لاگین کردن با Admin/Moderator یا حتی دیفیس کردن سایته
خب از طریق همین راه بکمک جاوا اسکریپت میشه Session/Cookie کاربران، ناظمان و مدیران رو هم بسرقت برد...
کافیه که با همون اکانتم یه تاپیک ساده بزنم و با ورود بازدید کننده ها به تاپیک، Cookie هاشونو بدزدم... یا حتی یه پستی رو گزارش کنم و داخلش عکس آلوده رو ( [i mg]http://test.com/1.jpg[/i mg] ) بگونجونم و ناظم با دیدن گزارش قربانی بشه... یا حتی بسادگی یه PM بزنم به مدیر سایت و وقتی که مدیر PM رو باز کرد آلوده بشه...

به همین راحتی Session Hijacking - Active هم انجام میشه

چونکه خیلی ها از جمله همین انجمن ساز SMF، سشن و کوکی رو در URL قرار میدن یا در بیشتر قسمتهای مدیریتی(moderation و administration) تمام محتوای Login رو در URL حمل میکن... پس براحتی میشه از طریق javascript یا referer یا frame یا غیره بدستش اورد و حتی XSS انجام هم داد...


پس پیشنهاد میکنم:
1- برای بخش آواتار نرم افزارهاتون Remote نذارید.
2- اگر برای بخش آواتار نرم افزارهاتون Remote گذاشتید، حتماً حتماً براش محدودیت هایی قرار بدید و سلامت تصویر چک کنید
3- از انجمن ساز SMF استفاد نکنید
4- اگر مجبورید از SMF استفاده کنید یا همین الان نصب هستش خودتون پچش کنید (فایل Subs-Menu.php خطوط 74 و 80)
4- هرگز داده های Login کوکی سشن و اطلاعات حساس رو در URL دست به دست نگردونید. (get نکنید)
5- سیستم احراز هویت تعبیه کنید(مثلاً با SMS, Email, OpenID) و درصورت تغییر IP Range بخواید که کاربر خودشو ثابت کنه.
6- بعد از هربار تغییر password یا email پروفایل کاربر، اون رو LOGOUT کنید و کلیه session/cookie های قبلیشو بی اعتبار کنید.

و امثالش...


پ.ن.: جالب اینکه با دانلود اون عکس پروفایلم یه فایل php دانلود میشه، ولی وقتی که بازش می کنید محتواش binary و ناخوانا هستش. و وقتی هم که پسوندشو به jpg تغییر میدید تبدیل میشه به همون عکس Tongue
پ.ن. 2: الان بنظرتون چکار کنم با اونا خخخخخخخخ
وبلاگ: Yousha.Blog.ir

صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
http://gulfnews.com/opinion/thinkers/ira...i-1.500997
  پاسخ
تشکر شده توسط : Alaa ayoubsys alibakhtiar
#2
سلام و وقت بخیر

همچنین در رابطه با اینکه انتهای آدرس فایل php. هست میشه یه ترفندی را زد که یک فایل htaccess. ایجاد و بگیم که فایل های با پسوندهای jpg. را بصورت php. اجرا کنه.
اینجوری مشکل اون php. آخر هم حل میشه.
کد:
AddType application/x-httpd-php .jpg


البته اگر آواتار رو محدود کنن باز از طریق قراردادن عکس در امضا باز به اهداف برسند.
همچنین این مورد در یاهو مسنجر هم جواب میداد. بصورت اینکه لینک رو سند توی آل میکردیم و یاهو لینک را عکس در نظر میگرفت و لود میکرد.
  پاسخ
تشکر شده توسط : Y.P.Y


پرش به انجمن:


کاربران در حال بازدید این موضوع: 1 مهمان