19:12
27/5/2010

Maksymilian Arciemowicz (polecam uwadze pod kątem zgłoszeń do polskich pwnie awards) opublikował ostrzeżenie przed atakami CSRF na usługi FTP w Sun Solarisie 10.

FTP+CSRF=WOW

Wystarczy, że atakujący wykorzysta ciąg postaci:

<img src="ftp://...////SITE%20CHMOD%20777%20FILENAME";>

Atak jest ciekawy, dlatego że w FTP nie ma możliwości użycia “tokenów” znanych z HTTP i chroniących przed atakami CSRF, więc jedynym rozwiązaniem problemu będzie pozbywanie się “niebezpiecznych” komend :> NetBSD już wprowadziło poprawkę uśmiercającą kilka “długich” komend, które do tej pory były rozdzielane na części.

Wygląda na to, że trzeba rozciągnąć definicię CSRF z “ataku na webaplikacje” do “ataku dotykającego przeglądarki internetowe” ;-)

Przeczytaj także:

 

8 komentarzy

Dodaj komentarz
  1. Albo po prostu ataku na protokoły przesyłania danych. Chyba zawiera w sobie wszystko. ;]

  2. Ohoho, ciekawy motyw :)

  3. Dla zainteresowanych tematem polecam – http://i8jesus.com/?p=75 .

  4. Maksymilian znowu porządził. Jestem pod coraz większym wrażeniem, ostatnio słyszę o nim przy okazji każdej nowej wersji PHP (security bug), bardzo podobała mi się np. jego zabawa z symlinkami i obejściem open_basedir() – http://securityreason.com/polish/badania_naduzycie/14 – ogólnie szacun :)

    • I dlatego *mocno* sugerujemy, żeby ktoś  go zgłosił do polish pwnie awards :)

  5. @Piotr Konieczny
    Wydawało mi się, że już go zgłosiłem jakiś czas temu ;)
    Rzuć okiem czy doszło zgłoszenie ode mnie, jeśli nie, to daj znać, uczynię to jeszcze raz ;)

  6. @Krzysztof Kotowicz : to jakieś przesłanie podprogowe? Cytat:
    /*
    PHP 5.2.12/5.3.1 symlink() open_basedir bypass
    by Maksymilian Arciemowicz http://securityreason.com/
    cxib [ a.T] securityreason [ d0t] com

    CHUJWAMWMUZG
    */

  7. ten exploit działa na najnowszej wersji php i z tego co wiem, nie da się go załatać

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: