Карусель тем сервиса MYBB2.Ru
Ссылка на тему: http://hackersoft.zbord.ru/viewtopic.php?t=40

Бажный header() под микроскопом Бродя по просторам интернета мы часто

 
Бажный header() под микроскопом
Бродя по просторам интернета мы часто видим url вида http://anyhost.com/redirect.php?url=http://otherhost.com Простой пользователь не долго думая просто кликает по нему и попадает на otherhost.com. Любопытный пользователь подставляет на место url адрес cвоей хомпаги и убеждается в кривости скрипта.
Помимо простых и любопытных в интернете живут очень любопытные пользователи. Они вбивают ссылку в AccessDiver и начинают изучать работу скрипта.

1. Суть бага.
2. Практическое применение.
3. Положение о распространенности ошибки.
4. Средства защиты.

Для танкистов напоминаю, что AccessDiver - "хакреский", как принято говорить в народе, инструмент. Скачать его можно на оффсайте проекта. На момент написания этого текста последней версией утилиты была 4.173. Программа наиболее известна своей функцией HTTP Debuger. Воспользоваться ею можно, перейдя в режим эксперта и выбрав соответствующую функцию в меню Tools (F4 затем Сtr+F9 - в зависимости от версии клавиши могли поменять). Дальше я не буду акцентировать внимание на ее настройке, тк справится с дайвером может любой школьник.

Для экспериментов я выбрал mail.ru, поскольку это самая известная почтовая служба в рунете и читателю будет особенно интересно узнать о баге на этом проекте ;) Давайте зайдем по ссылке http://go.mail.ru/urltracker?url=http://www.security-teams.net. Нас перекинет на самый лучший портал по компьютерной безопасности ;). Добавляем сайт в закладки и возвращаемся к мейлу. Запишем заинтересовавшую нас ссылку в поле HTTP Address, поставим Mode равный Get, жмем Connect.
Перед нами появятся HTTP заголовки, возвращаемые сервером, примерно как на скриншете:



Обратим внимание на подчеркнутую строчку. Встретив в заголовках Location:, браузер безоговорочно переносит нас по указанному url. Следовательно, мы можем подсунуть пользователю ссылку, как бы на мейле, а попадет он совсем не на мейл. Все это замечательно, но на практике ничего не дает.

Обратим внимание на то, что строчки в заголовке разделены парой символов 0Dh 0Ah. А что, если приписать их в конце ссылки? Давайте посмотрим, что вернет нам сервер в ответ на запрос http://go.mail.ru/urltracker?url=null%0D%0AHacked_by:%20drmist:



Как интересно. Значит мы можем заставить сервер выдасть практически любой заголовок. Например изменить пользовательские кукисы. Но, опять же, это еще не так интересно, как то, что ждет нас впереди. Интересно то, что заголовки отделяются от тела документа последовательностью 0Dh 0Ah 0Dh 0Ah. Неужели мы способны выдать совершенно любую страничку? Вводим http://go.mail.ru/urltracker?url= %0D%0A%0D%0A

Внимание! Если вы считаете, что темы с вашего форума не должны присутствовать в карусели тем или в карусели присутствует содержимое, нарушающее нормы общепринятой морали, либо действующего законодательства - напишите нам на abusereport@mybb2.ru
 

создать форум