20:52
28/8/2012

* Phishing via DATA URI

Można tworzyć strony phishingowe “w przeglądarce” poprzez data:text/plain;base64,. Plusy: takiej strony nie da się “zdjąć” z internetu (nie jest hostowana na żadnym serwerze). Minusy: oczywiście URL nie przypomina prawdziwego (tutaj miejsce na social engineering). Więcej tutaj.

Powyższy post pochodzi z *ptr, (naszego linkbloga widocznego w belce po prawej stronie serwisu) Został przeniesiony na główną Niebezpiecznika z racji dużego zainteresowania czytelników przedstawionym tematem. Jeśli chcesz na bieżąco śledzić wpisy z ptr* oto jego dedykowany kanał RSS

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.


27 komentarzy

Dodaj komentarz
  1. A czy czasami URL nie ma limitu 2KB?

    • To chyba zależy od konkretnej przeglądarki i serwera HTTP

    • Co do serwerów: http://www.ietf.org/rfc/rfc2616.txt 3.2.1 General Syntax The HTTP protocol does not place any a priori limit on the length of a URI. Servers MUST be able to handle the URI of any resource they serve, and SHOULD be able to handle URIs of unbounded length if they provide GET-based forms that could generate such URIs. A server SHOULD return 414 (Request-URI Too Long) status if a URI is longer than the server can handle (see section 10.4.15). Note: Servers ought to be cautious about depending on URI lengths above 255 bytes, because some older client or proxy implementations might not properly support these lengths.

    • jeśli przeglądarkę pisał RMS w jedynym słusznym C to faktycznie będzie 2kb
      jeśli przeglądarkę pisali normalni ludzie w normalnym języku z normalną obsługą napisów to możesz wpisać (prawie) dowolną ilość tekstu.

    • Owszem, ale limit 2 kB jest tylko w IE (nie wiem, czy w nowszych wersjach również). Inne mają bufory 64 kB i większe.

      Na podstawie: http://www.boutell.com/newfaq/misc/urllength.html

  2. http://pastehtml.com/view/c9rf1fyh3.html
    (uwaga! nieco NSFW)

    • Poza tym, że to co zalinkowałeś jest w bardzo złym guście i fatalnie to o tobie świadczy.
      Jak to się ma do tematu?

    • taki nowy w internetach, jeszcze nieodpakowany.

  3. Można wykorzystać do podmiany zawartości ramki (np. iframe). Wtedy URL strony głównej się nie zmienia. Dodatkowo, żeby link “wyglądał” wpisujemy w href cokolwiek, a w onclicku podmieniamy zawartość ramki i dajemy “return false”.
    Niestety/stety tutaj Google Chrome też jest “odporne” i wyświetla w ramce komunikat “Błąd 311 (net::ERR_UNSAFE_REDIRECT): Nieznany błąd.”

    • a może php include?

    • unknownAttacker: przeczytaj jeszcze raz wpis, ze szczególnym naciskiem na słowo „plusy”. A potem zastanów się, jak Twoja propozycja ma się do tego, co przeczytałeś.

    • Panie Mirosławie, zauważ że sposób można wykorzystać w atakach remote file inclusion, gdzie zamiast adresu strony z kodem php – podajesz właśnie strumień danych. Zapewne to miał na myśli attacker~. A teraz sie zastanów jak się ma to do tego co napisałeś :)

  4. albo trzeba spróbować z jakimś skracaczem linków :>

    • Nie wyjdzie: http://imgur.com/PsRQt

    • Prosisz, masz (: http://tinyurl.com/8aj8f94 (przykład z PDF-a) Większość skracaczy krzyczy, a to link za długi, a to nie akceptuje “data”…

    • @stalyBWLC – ja mam własny bez limitów ale sam Chrome limituje taki redirect.

    • @stalyBWLC: po kliknieciu w link Chrome wywala strone bledu. (data: dziala. fun fact: dzisiaj dowiedzialem sie, ze ‘hi’ w base64 = †.

  5. Tak stary dobry phishing… to lepsze niż łowienie na białego robaka.

  6. http://lcamtuf.coredump.cx/switch/ – jeśli nie widzisz co się stało, znaczy że zadziałało ;-)

    • To jest bardzo ciekawy przykład bo po chwili zmienia się address bar: http://ne0.pl/*Lc3W+ :D

  7. Po wklejeniu w firefoxa z noscriptem:
    “javascript: and data: URIs typed or pasted in the address bar are disabled to prevent social engineering attacks.
    Developers can enable them for testing purposes by toggling the “noscript.allowURLBarJS” preference.”

  8. > data:text/plain;base64,

    text/html*

  9. Pfft… http://lcamtuf.coredump.cx/switch/index2.html

  10. Witam, niestety osoba, która opublikowała tą pracę ubiegła mnie, gdyż już nad nią pracowałem dwa tygodnie. Wyniki tejże pracy miały być własnie opublikowane za kilka dni.
    Szkoda.
    Pozdrawiam

  11. Jeśli ktoś chce mieć logo niebezpiecznika wieczne żywe, to proszę wkleić poniższy url do przeglądarki.

    data:image/jpeg;base64,/9j/4AAQSkZJRgABAQAAAQABAAD/2wCEAAkGBhQSEBUQEBQWEBUQFx8VFhcYGRgXERsXFxkXIBkcFx4XHzIiGhkmHx4aKzMsLzMqLywvGCoxNjIqOSgxLDUBCQoKDQwOFw8PGSwiHyUyNTU1MTUtNCwrNTUpNTU1LDA1NS0pKjU1LTUsNSkqNTEyNC41NTU1NTY1NTU1NTUvKf/AABEIAFAApAMBIgACEQEDEQH/xAAcAAEAAgMBAQEAAAAAAAAAAAAABwgEBQYBAgP/xAA7EAABAwIDBAcFBwMFAAAAAAABAAIDBBEFEiEGFzGTEyJRUlTR0gcUMmGRIzVBcXOBszSSsRUkM0JD/8QAGQEBAQADAQAAAAAAAAAAAAAAAAECBAUD/8QAKBEBAQACAQMCBAcAAAAAAAAAAAECETEDBCGR8EFh0fESEyJRcYGx/9oADAMBAAIRAxEAPwCcUREBERAREQEREBERAREQEREBERAREQEREBERByGP+1Wgo53U8sjnSM+IMYXBp7Ce1a3fjhvem5Z81Ce3v3pWfrv/AMrRhnVc6+jbD+6/kpbJyslvCxO/HDe9Nyz5pvxw3vTcs+arpnHasmmpgXta7UOYXfiP/Nzh9CAplnMZu+9MsMLnZJ72sFvxw3vTcs+a835Yb3puWfNQAaZuTNbXoo38T8TnWJ+ixFMM5nvS9Tp3DW/isVvyw3vTcs+ab8sN703LPmq6Is3msXvzw3vTcs+a836Yb3puWfNV0XiCxm/TDe9Nyz5pv0w3vTcs+arkvEFjt+uG96blnzXm/bDe9Nyz5quK+UFkN+2Gd6blnzTfthvem5Z81W9Cgsfv3wzvTco+ab98M703KPmq3LxBZLfxhnem5R8038YZ3puUfNVtRBb3Z/a6mrYRPTyhzCS036rg4WuCDwOo+qKDvZgf9pJ+uf44kQc5t5961g43qHAfmTosluAyxUodESZpHNzWcBZo1ym5tcHivjbCq6PF6x40Illym17OIOU/Va2CN81OI4iXOjkL3s4XzEZX3OlwQfqtHuvx2zzJjub3x/fy4dLsvy5MrZblZda5n8fPn0dZXVEvuocyNgmfoWgtu3jcjXiNFo8Wwp4giqM1pgwiQFwzkAWuNbaNve3G6wX4FU2JsTbrcW3JlH2gGvHtX512eIQsc89JEC4C3/GHhmVoPA8D9Vo9DoTHKTp543zfTXHN8cfd0e47i545Xq4ZSamvM53PM8T9XP2e4rJ1InNj6Jj4wAQ5zg4Nsba90rw7O1XSRRe7y56lueFuXrPZa9266i2q/DFa18jWZ3F2WIEX4AuBvw/IKZqB758Rw1gaD7hSxyXA6wjnpZGvLtdQHtj/ALl1e3xuOEl9+ri91lMupbPp/iFZKKRsTJnMc2OVzmseR1XOZ8QHzC8pKN8sjYomOkfIcrWtF3E9g+hXb7PbH09RDhedtjV1c7JnBzgXRx3OXjYaC1xY6rPwKGl/1HDzF7tHUNrHsfHTOeYzCGno3Oz/APcHMLjjpde7WRm5pBIIIIJBB4gg2I+q8KkSLZ6mrI4Hth93ccVdRyOa5xfJE/r3cSfj4i4tZa/aOGjZlMcVLJPFWOiFNA6Utkp7HIJdb9IHC1wbnMg4ohfpS0j5ZGxRNMj5CGsaPiLjwAUnSbP0DsWocP8AdY435HurWRvkMXSGB7mxgude7LA/mVr8GwGlqGYZIKdseetfSSgOf9qxoDmueb3zdpFv2GiCPJGEEtIILSQQeIINiD+6+FI+E4BSRU7Z6hlMWTV8kMhqHyAsp4zYiHKfj1JvqdAsKGko6SlhndTtxBtVWSw5nZy/3eIgN6HK4Wkde9/yQcNZfJXf7IU1H7nVVNZRMfBS5mxyvfIKmSZ7vsogA4NzBvG3DT5rYbKbO0bnYTHLStlOJQziVxc/Qsc/K5oBtnFrX7D26oI9pcBqJOiMcL3ipc5kNh8bmfEG68QsFzSDY6EaH8xxUnbC4REx+CztbaSaqqGvdckuDB1dCbC3yWg9omzbaDoICxrpJA+aWdpJa9zpHARs/CzANdL3cg49ZDMOkMLqgMcYo3Bjn26ge4XAPzK7HZvDaVuGwVk1O2okdiTac5nODTE6PUENOtjqPnxuNFs9pMJZTYdilPFoyLEowwXvZuW4Fz2A2/ZA9mH9JJ+sf44kT2Yf0kn6x/jiRBzW3/3rWfrv/wArTNnAidHl1e4EuvpZvAWt2nirRY37NqCrlM9RAHSO+Jwc5hNu3KRcrX7msL8OeZJ6ljcZeWWOVx497VmyjsWTU1IeGdXKWMDCc1w7LoNLaKyG5rC/DnmSepNzWF+HPMk9SXGWy/sTKyWT4q0yyZgAdLNDfpfVdHQe0Kqhqm1bOi6RlO2lsWu6MxsAAuM182g1v+ynPc1hfhzzJPUm5rC/DnmSepWTXiJbbd1AFJtdURR00cZY33GV08RDetnkN3B9zYt/C2mhWQNuJWywSwxQQe6yunaxjX5HSyfE5+Z5cfkAQB+Cnfc1hfhzzJPUm5rC/DnmSepVECT7bVDmQsb0cXu05qg6NmVz5yb55NbEjhwGi/U7eTCWOWOGmhMM5qsrWPLXzOFi5+Z5NrcACAFOu5nC/DnmSepNzOF+HPMk9SCHtn9vGOxWnrKuKmpRG+V8kkMTmuc6SJ4vJYku6xH1WoO3s4NKWMhjFDI6aNrWZWvkcdXyAHUn5WU8bmcL8OeZJ6k3MYX4c8yT1IIEw7beaJuV0UE4bOaqPpGuPRzO4uZlcLjh1XXGi+sJ26mgYGmOGfo5jUxOla4ujmdxczI4A662NxfVTzuYwvw55knqTcxhfhzzJPUggql9oczaUUkkFLVRte+UGaIvfnkLi5x6wF+sfwWLh+3FRC+jewR3w1r2w3abESlxdn62vE2tZT9uXwrw55knqTcvhXhzzJPUggDDdtqiAUoYIz7hJJLFdp1dN8WeztR2WsvKbbSdjYG2jf7nUGpiLmkuDnm7mfFrGTrbjccVYDcvhXhzzJPUm5fCvDnmSepBDWH7cthw0ACKWo/1E1RhfGXRZOjNnDss+1rG/wCy0NdthUTRVEUhY4Vk4qZDlIdnHAN1sG/L5Kwe5fCvDnmSepNy+FeHPMk9SCLvZewmkksCftz/ABxIp3wXZ2npIhBTRNiYDew1uTxJJ1JRBskREBERAREQEREBERAREQEREBERAREQEREBERB//9k=

    Pozdro

  12. “javascript: and data: URIs typed or pasted in the address bar are disabled to prevent social engineering attacks.
    Developers can enable them for testing purposes by toggling the “noscript.allowURLBarJS” preference.” – newest Firefox at Backtrack 5r3 ;)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: