 |  |
https://bugtraq.ru/review/archive/1998/17-11-98.html |
|
|||
|
|
|
||
| https://bugtraq.ru/review/archive/1998/17-11-98.html |
||||
| ||||
17 ноября 1998, #50
Выпуск юбилейный, практически праздничный.
За последние несколько дней прошло столько взломов, что я несколько утомился их заносить в Underground. Надо будет это дело как-то автоматизировать.
Небольшой анонс. На 27-е число запланирован круглый стол "Хакерство в России. Реальна ли опасность ?". Место проведения - мраморный зал Центрального Дома журналиста. Подробности - здесь. Приглашаются все желающие, но об этом своем желании желательно сообщить заранее.
Вокруг троянцев. Очередная вариация на тему BO - GirlFriend 1.3. Сервер (Windll.exe) весит 300 с лишним килобайт, к тому же виден в списке задач. При запуске прописывает себя в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Позволяет выводить на удаленной машине системные сообщения, получать список окон, содержащих поля ввода пароля (с паролем, разумеется), проигрывать звуковые файлы, показывать bmp-файлы, удалять ссылку на себя из реестра (уходя, гасите свет...). По умолчанию садится на 21554-й порт, хотя это значение может быть изменено. За ссылку спасибо Андрею Орешко.
Следующее сообщение даю as is.
|
Hi Ya ho4u raskazat' kak mojno obmanut' netbus password protected server. podklyu4aeshcya 4erez oby4nyi client netbus i doxodish do momenta vvidite password. v eto vremya podklyu4aeshcya 4erez telnet k etoi je mashine i possylaesh string Password;1;any. :) U got access.posle etogo ostetcya lish poslat' string ServerPwd;yourpassword > i netbus server vash :) (10'x to port listener and lan analizer) :) TRiP |
Создатели голосовалки для Золотого УРЛа успешно наступили на классические грабли, характерные для подобных скриптов. Передача данных формы методом GET в сочетании с отсутствием контроля за referer широко открывает дверь всевозможным злоупотреблениям, что и наблюдалось в первые дни.
Чем так плох метод GET ? А тем, что при этом вся информация из формы передается прямо в URL скрипта в виде http://somehost.ru/somescript.cgi?param1=value1&...paramN=valueN. Таким образом, вместо возни с формой, предполагающей свободу пользовательского выбора, можно сделать выбор самим, сформировать подходящий URL, после чего разослать его по конференциям, повесить на свою страницу и т.д. Использование метода POST без контроля за referer ненамного лучше - нужного результата всегда можно добиться с помощью hidden-полей, заполнив их требуемыми значениями и прикрутив JavaScript для отправки формы.
Первый шаг по закрытию дырки очевиден - начинаем отслеживать referer и обрабатывать только результаты, отправленные с нашего сайта (оставляем в стороне тот факт, что поле HTTP_REFERER на самом деле передается броузером и вполне может быть подделано, если пообщаться с сервером по HTTP самостоятельно - с помощью достаточно простого скрипта на Perl'е, чуть подправленного броузера и т.д.). Для метода POST этого почти достаточно - если только у посетителей нет возможности оставлять сообщения на сервере, использующие html-тэги. А вот при использовании GET лазейка остается - достаточно воспользоваться чем-то вроде гостевой книги на сервере, которые обычно позволяют оставить URL пишущего. Указываем в этом поле все тот же сфабрикованный URL, и voila, скрипт сам сделает все, что нам надо.
Не знаю, так ли все было с Золотым УРЛом, но после изучения новостей выстраивается именно такая последовательность - вначале прикрыли referer, потом запретили GET.
Такие дела. Кстати, а вы уже проголосовали за нас ? :)
Евгений Ильченко завел страницу, на которой отслеживаются изменения на самых известных русскоязычных сайтах, занимающихся сетевой безопасностью. Идея очень грамотная, жалко, не мне пришедшая в голову :) Обновляется каждый час.
А на странице JustNews собираются новости о Linux, FreeBSD и просто Unix. Обновляется как правило ежедневно.
Плавно и ненавязчиво продолжая тему Unix... Если вы уже решили отряхнуть со своих ног прах win-прошлого, но на самостоятельные телодвижения решимости еще не хватает, вам прямая дорога сюда. Учебный центр IP Communications проводит набор на юниксовые курсы. Теория дополняется практическими занятиями в учебных классах IP Communications, в классах стоит FreeBSD и Linux. Здесь же можно подписаться на mail-list, посвященный проблемам Unix.
После сообщения о WinScript.Rabbit известие о появлении вируса, заражающего html-файлы, уже не было чем-то неожиданным.
|
HTML.Internal Первый известный вирус, заражающий HTML-файлы. При обращении к зараженной странице вирус ищет HTML-файлы на локальном диске и заражает их. При заражении использует скрипты, написанные на языке Visual Basic. Вирус размножается только в том случае, когда в броузере отключены соответствующие Security settings, в противном случае при запуске вируса броузер выдает сообщение об ошибке. Заголовок зараженных HTML-файлов содержит инструкцию, которая объявляет вирусный скрипт как автоматически выполняемый при открытии файла броузером, т.е. при открытии зараженной HTML-страницы управление автоматически передается на код вируса. Основная процедура вируса с вероятностью 1/6, в зависимости от системного датчика случайных чисел, вызывает процедуру заражения, которая ищет все *.HTM и *.HTML-файлы в текущем и всех родительских каталогах и записывается в их начало. При заражении первоначальное содержимое файлов сдвигается вниз, по этой причине вирус не портит файлы и визуально (при просмотре броузером) зараженные HTML-страницы никак не отличаются от незараженных. |
Судя по описанию, работает он только под IE. Видимо, при этом используется нечто на тему создания ActiveX-объектов. Броузер при этом по умолчанию выдает соответствующее предупреждение, но мало ли любопытных ходит по сети...
Как мне подсказал Дмитрий Митрофанов, на Озоне стала продаваться книга "Атака через Интернет". Так что у не успевших поймать ее в книжных магазинах появился еще один шанс. Правда и тут надо поторопиться - запасено всего 4 коробки. Заказать книгу можно здесь.
...День спустя. Можно уже не торопиться - запасы были исчерпаны за день... Не успевшим можно разве что посоветовать оставить заявку в букинистическом поиске на Озоне.
...И еще день спустя :) С Озона сообщают - нашли еще сотню экземпляров...
У вас есть новость или ссылка, заслуживающие внимания наших читателей ? Пишите.
| « | » | |
|
|
|