20:52
28/8/2012
28/8/2012
Można tworzyć strony phishingowe “w przeglądarce” poprzez data:text/plain;base64,. Plusy: takiej strony nie da się “zdjąć” z internetu (nie jest hostowana na żadnym serwerze). Minusy: oczywiście URL nie przypomina prawdziwego (tutaj miejsce na social engineering). Więcej tutaj.
Powyższy post pochodzi z *ptr, (naszego linkbloga widocznego w belce po prawej stronie serwisu) Został przeniesiony na główną Niebezpiecznika z racji dużego zainteresowania czytelników przedstawionym tematem. Jeśli chcesz na bieżąco śledzić wpisy z ptr* oto jego dedykowany kanał RSS
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
A czy czasami URL nie ma limitu 2KB?
To chyba zależy od konkretnej przeglądarki i serwera HTTP
Co do serwerów: http://www.ietf.org/rfc/rfc2616.txt 3.2.1 General Syntax The HTTP protocol does not place any a priori limit on the length of a URI. Servers MUST be able to handle the URI of any resource they serve, and SHOULD be able to handle URIs of unbounded length if they provide GET-based forms that could generate such URIs. A server SHOULD return 414 (Request-URI Too Long) status if a URI is longer than the server can handle (see section 10.4.15). Note: Servers ought to be cautious about depending on URI lengths above 255 bytes, because some older client or proxy implementations might not properly support these lengths.
jeśli przeglądarkę pisał RMS w jedynym słusznym C to faktycznie będzie 2kb
jeśli przeglądarkę pisali normalni ludzie w normalnym języku z normalną obsługą napisów to możesz wpisać (prawie) dowolną ilość tekstu.
Owszem, ale limit 2 kB jest tylko w IE (nie wiem, czy w nowszych wersjach również). Inne mają bufory 64 kB i większe.
Na podstawie: http://www.boutell.com/newfaq/misc/urllength.html
http://pastehtml.com/view/c9rf1fyh3.html
(uwaga! nieco NSFW)
Poza tym, że to co zalinkowałeś jest w bardzo złym guście i fatalnie to o tobie świadczy.
Jak to się ma do tematu?
taki nowy w internetach, jeszcze nieodpakowany.
Można wykorzystać do podmiany zawartości ramki (np. iframe). Wtedy URL strony głównej się nie zmienia. Dodatkowo, żeby link “wyglądał” wpisujemy w href cokolwiek, a w onclicku podmieniamy zawartość ramki i dajemy “return false”.
Niestety/stety tutaj Google Chrome też jest “odporne” i wyświetla w ramce komunikat “Błąd 311 (net::ERR_UNSAFE_REDIRECT): Nieznany błąd.”
a może php include?
unknownAttacker: przeczytaj jeszcze raz wpis, ze szczególnym naciskiem na słowo „plusy”. A potem zastanów się, jak Twoja propozycja ma się do tego, co przeczytałeś.
Panie Mirosławie, zauważ że sposób można wykorzystać w atakach remote file inclusion, gdzie zamiast adresu strony z kodem php – podajesz właśnie strumień danych. Zapewne to miał na myśli attacker~. A teraz sie zastanów jak się ma to do tego co napisałeś :)
albo trzeba spróbować z jakimś skracaczem linków :>
Nie wyjdzie: http://imgur.com/PsRQt
Prosisz, masz (: http://tinyurl.com/8aj8f94 (przykład z PDF-a) Większość skracaczy krzyczy, a to link za długi, a to nie akceptuje “data”…
@stalyBWLC – ja mam własny bez limitów ale sam Chrome limituje taki redirect.
@stalyBWLC: po kliknieciu w link Chrome wywala strone bledu. (data: dziala. fun fact: dzisiaj dowiedzialem sie, ze ‘hi’ w base64 = †.
Tak stary dobry phishing… to lepsze niż łowienie na białego robaka.
http://lcamtuf.coredump.cx/switch/ – jeśli nie widzisz co się stało, znaczy że zadziałało ;-)
To jest bardzo ciekawy przykład bo po chwili zmienia się address bar: http://ne0.pl/*Lc3W+ :D
Po wklejeniu w firefoxa z noscriptem:
“javascript: and data: URIs typed or pasted in the address bar are disabled to prevent social engineering attacks.
Developers can enable them for testing purposes by toggling the “noscript.allowURLBarJS” preference.”
> data:text/plain;base64,
text/html*
Pfft… http://lcamtuf.coredump.cx/switch/index2.html
Witam, niestety osoba, która opublikowała tą pracę ubiegła mnie, gdyż już nad nią pracowałem dwa tygodnie. Wyniki tejże pracy miały być własnie opublikowane za kilka dni.
Szkoda.
Pozdrawiam
Też możesz ją opublikować :)
Jeśli ktoś chce mieć logo niebezpiecznika wieczne żywe, to proszę wkleić poniższy url do przeglądarki.
data:image/jpeg;base64,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
Pozdro
“javascript: and data: URIs typed or pasted in the address bar are disabled to prevent social engineering attacks.
Developers can enable them for testing purposes by toggling the “noscript.allowURLBarJS” preference.” – newest Firefox at Backtrack 5r3 ;)