/
  • سرقت اطلاعات و Session hijacking توسط Avatar

  • ارسال پاسخ   امتیاز موضوع:
    • 2 رأی - میانگین امیتازات: 5
    • 1
    • 2
    • 3
    • 4
    • 5

    حالت موضوعی | حالت خطی سرقت اطلاعات و Session hijacking توسط Avatar
    نویسنده پیام
    Y.P.Y آفلاین
    ناظم کل
    *******

    ارسال‌ها: 2,783
    تاریخ عضویت: ۱۳۸۷ دي ۲۸
    اعتبار: 103
    تشکرها : 2181
    ( 4856 تشکر در 2220 ارسال )
    ارسال: #1
    سرقت اطلاعات و Session hijacking توسط Avatar
    نمیدونم داشتم چکار میکردم که یهو افتادم دنبال این مسله Big Grin

    دیدید بعضی از سایت ها و انجمنها یه قسمت واسه تغییر Avatar(آواتار) پروفایل دارن؟ (اونم بصورت remote url)
    و دیدید بعضیها(حتی شما! Big Grin) کوکی، session و همه جدو آباد login رو داخل URL در نوار آدرس مرورگر هی اینور و اونور میبرن؟ (get می کنن...) ؟

    خب بذارید یه چیز ساده ولی خانمان خراب کن بهتون نشون بدم تا دیگه از اینکارا نکنید! Angel


    یه نگاهی به پروفایل من در انجمن SMFpacks.com بندازید:
    http://smfpacks.com/mlist/y-p-y_38728
    حالا یه نگاهی به آخرین اطلاعات ثبت شده در این سایت بندازید:
    http://yousha.byethost4.com/data.txt
    تبریک، اطلاعات اولیه تون سرقت و ثبت شد!
    در صورتی که هیچ چیز غیر عادی بجز یک عکس در پروفایلم وجود نداشت

    حالا یه نگاهی به پروفایل من در انجمن SMFhacks.com بندازید:
    http://smfhacks.com/index.php?action=profile;u=13430
    بعد یه نگاهی به آخرین اطلاعات ثبت شده در این سایت بندازید:
    http://yousha.byethost4.com/data2.txt
    باز هم میبینید که اطلاعات اولیه تون سرقت و ثبت شده! در صورتی که هیچ چیز غیر عادی حتی عکسی در این پروفایل من وجود نداره (البته به ظاهر، چونکه عکس کوچیک و سفید هستش)


    چرا؟ چطوری؟
    اینه:
    1- انجمن ساز SMF اجازه قراردادن تصویر آواتار بصورت Remote رو میده
    2- هیچگونه محدودیتی برای نوع فایل قرار داده شده وجود نداره
    3- هیچگونه بررسی هم برای تشخص سلامت داخلی تصویر انجام نمیده
    اینطوری میشه که هکر براحتی هر فایلی با هر پسوند و محتوایی رو که بخواد می تونه بر روی سایت قرار بده و تمام بازدیدکنندگان رو قربانی کنه


    این واسه قسمت اولش بود، حالا قسمت دومش، Session Hijacking و لاگین کردن با Admin/Moderator یا حتی دیفیس کردن سایته
    خب از طریق همین راه بکمک جاوا اسکریپت میشه Session/Cookie کاربران، ناظمان و مدیران رو هم بسرقت برد...
    کافیه که با همون اکانتم یه تاپیک ساده بزنم و با ورود بازدید کننده ها به تاپیک، Cookie هاشونو بدزدم... یا حتی یه پستی رو گزارش کنم و داخلش عکس آلوده رو ( [i mg]http://test.com/1.jpg[/i mg] ) بگونجونم و ناظم با دیدن گزارش قربانی بشه... یا حتی بسادگی یه PM بزنم به مدیر سایت و وقتی که مدیر PM رو باز کرد آلوده بشه...

    به همین راحتی Session Hijacking - Active هم انجام میشه

    چونکه خیلی ها از جمله همین انجمن ساز SMF، سشن و کوکی رو در URL قرار میدن یا در بیشتر قسمتهای مدیریتی(moderation و administration) تمام محتوای Login رو در URL حمل میکن... پس براحتی میشه از طریق javascript یا referer یا frame یا غیره بدستش اورد و حتی XSS انجام هم داد...


    پس پیشنهاد میکنم:
    1- برای بخش آواتار نرم افزارهاتون Remote نذارید.
    2- اگر برای بخش آواتار نرم افزارهاتون Remote گذاشتید، حتماً حتماً براش محدودیت هایی قرار بدید و سلامت تصویر چک کنید
    3- از انجمن ساز SMF استفاد نکنید
    4- اگر مجبورید از SMF استفاده کنید یا همین الان نصب هستش خودتون پچش کنید (فایل Subs-Menu.php خطوط 74 و 80)
    4- هرگز داده های Login کوکی سشن و اطلاعات حساس رو در URL دست به دست نگردونید. (get نکنید)
    5- سیستم احراز هویت تعبیه کنید(مثلاً با SMS, Email, OpenID) و درصورت تغییر IP Range بخواید که کاربر خودشو ثابت کنه.
    6- بعد از هربار تغییر password یا email پروفایل کاربر، اون رو LOGOUT کنید و کلیه session/cookie های قبلیشو بی اعتبار کنید.

    و امثالش...


    پ.ن.: جالب اینکه با دانلود اون عکس پروفایلم یه فایل php دانلود میشه، ولی وقتی که بازش می کنید محتواش binary و ناخوانا هستش. و وقتی هم که پسوندشو به jpg تغییر میدید تبدیل میشه به همون عکس Tongue
    پ.ن. 2: الان بنظرتون چکار کنم با اونا خخخخخخخخ
    __________________________________________________________________________
    وبلاگ: Yousha.Blog.ir

    صدام: "اگر با ارتش شاه ایران طرف بودیم، یک ماهه جنگ را می بردیم"
    http://gulfnews.com/opinion/thinkers/ira...i-1.500997
    (آخرین ویرایش در این ارسال: ۱۳۹۵ شهريور ۲۵ ۰۴:۳۵ عصر، توسط Y.P.Y.)
    ۱۳۹۵ تير ۱۳ ۰۹:۲۶ صبح
    یافتن ارسال‌ها WWW پاسخ با نقل قول
     تشکر شده توسط : Alaa ayoubsys alibakhtiar
    ayoubsys آفلاین
    عضو
    ***

    ارسال‌ها: 118
    تاریخ عضویت: ۱۳۹۴ آذر ۱۵
    اعتبار: 9
    تشکرها : 885
    ( 79 تشکر در 57 ارسال )
    ارسال: #2
    RE: سرقت اطلاعات و Session hijacking توسط Avatar
    سلام و وقت بخیر

    همچنین در رابطه با اینکه انتهای آدرس فایل php. هست میشه یه ترفندی را زد که یک فایل htaccess. ایجاد و بگیم که فایل های با پسوندهای jpg. را بصورت php. اجرا کنه.
    اینجوری مشکل اون php. آخر هم حل میشه.
    کد:
    AddType application/x-httpd-php .jpg


    البته اگر آواتار رو محدود کنن باز از طریق قراردادن عکس در امضا باز به اهداف برسند.
    همچنین این مورد در یاهو مسنجر هم جواب میداد. بصورت اینکه لینک رو سند توی آل میکردیم و یاهو لینک را عکس در نظر میگرفت و لود میکرد.
    ۱۳۹۵ تير ۱۳ ۱۲:۱۳ عصر
    یافتن ارسال‌ها پاسخ با نقل قول
     تشکر شده توسط : Y.P.Y
    « قدیمی تر | تازه‌ تر »

    ارسال پاسخ
    پرش به انجمن:


    کاربرانِ درحال بازدید از این موضوع: 1 مهمان
    IranPHP.org | تماس با ما | بازگشت به بالا | بازگشت به محتوا | بایگانی | پیوند سایتی RSS