Attacchi Indiretti

Attacchi Indiretti postato il 09/02/2012 01:51:52 nel forum programmazione, gdrcd, open source, hosting e modificato da blancks il 09/02/2012 01:55:49

Volevo rendere noto il fatto che è in circolo questo worm che include automaticamente del codice malevolo, cercando di sfruttare falle XSS, quando un utente prova ad inviare un form in un sito web col fine di inserire iframe nascosti un po ovunque gli utenti bazzichino e di replicarsi così sul pc di altre persone.

Agli utenti posso solo consigliare di non fidarsi mai delle estensioni per il browser che promettono miracoli e di eseguire frequenti scansioni complete del sistema.

Per i gestori, consiglio caldamente di prendere misure di sicurezza disabilitando la possibilità di introdurre html libero nelle bacheche e nei profili personaggio: ricordate che avere una scritta colorata in scheda non vale il rischio a cui esponete i vostri utenti.

Non so quanto sia estesa, magari solo i pc di pochi utenti hanno contratto questa "infezione" ma basta poco per farla diffondere a macchia d'olio.

Quello che segue è il codice malevolo che viene incluso, lo espongo come feedback in caso vogliate creare controlli ad hoc, se volete verificare cosa si trova al link di destinazione è necessario per la vostra sicurezza disabilitare javascript del browser, ma in genere non vi consiglio di provarci.

Ricordo che gli utenti che rilasciano questo tipo di codice non sono consapevoli di ciò che accade e concludo con una frase fatta che ritengo particolarmente opportuna: "meglio prevenire che curare".

---

quota

09/02/2012 02:19:30

Grazie mille per la segnalazione!

---

quota

09/02/2012 02:20:55 e modificato da neverlands il 09/02/2012 02:36:15

L'idea di abilitare l'HTML nelle schede, nelle bacheche o nelle altre parti della land mi ha sempre lasciato perplesso proprio per questo motivo: qualsiasi Iframe inserito sfugge a qualsiasi controllo tu abbia messo.

Personalmente l'ho sempre disabilitato in toto e inserito righe di codice apposite per poter concedere agli utenti delle funzioni che trovassero "carine"

Ad esempio per concedere un lettore di mp3 in scheda si è fatta la scelta di tenerne solo uno (ricaduta per volontà degli utenti su mixpod). Quindi inserito un campo "mixpod" numerico nel database che potesse ospitare l'ID e poi dentro la pagina di scheda un codice come questo:

Nulla di eccessivo, ma che potesse permettere a tutti di inserire delle cose sotto stretto controllo (ovviamente ci sono dei filtri per impedire l'inserimento di caratteri come " oppure > che sfaserebbero la scelta...)

Concordo pienamente con Blancks :)

---

quota

09/02/2012 08:11:06

grazie mille per la segnalazione ;-)

---

quota

09/02/2012 08:43:40

bravo blancks!!

u.u

---

quota

09/02/2012 11:21:32

Affatto, con un minimo di esperienza (o di pratica) è possibile impostare delle espressioni regolari che riconoscano i pattern indesiderati:

- Guida alle regexp: http://fido.altervista.org/RegExp/regex.html http://fido.altervista.org/RegExp/regex.html ↗
- Eseguire regexp in php: http://it2.php.net/preg_replace http://it2.php.net/preg_replace ↗


Oppure, più semplicemente, si può scegliere quali tag consentire escludendo automaticamente tutti gli altri (questo tuttavia non impedisce metodi di intrusione XSS più fantasiosi se si è di manica larga con la scelta dei tag ammessi):

- Stip Tags: http://it2.php.net/strip_tags http://it2.php.net/strip_tags ↗




Anche è una scelta, se si usa il gdrcd 5.1 e si sta adoperando il BBDecoder come estensione per la personalizzazione dei messaggi in bacheca e nelle schede ad esempio si è già al sicuro da questo tipo di attacchi.

Altra nota visto che siamo in tema: il bbcode di base dei precedenti gdrcd (extreme o in giù) invece è vulnerabilissimo per cui fate attenzione se vi basate su quello.

---

quota

09/02/2012 13:35:25

Uh.. Ti ringrazio per quei link! :)

---

quota

09/02/2012 14:08:18

Grazie per la segnalazione. Credo che se man mano che sorgono vulnerabilità varie i vari programmatori le segnalano, sia un valore aggiuntivo per tutta la community

quota

09/02/2012 15:37:05

Grazie mille per la segnalazione.

cio che ho notato io alemeno da me è che noi abbiamo da config disabilitato l'html infatti forum e schede utilizzano solo il BBcode eppure..ho riscontrato che alcuno codici html le schede dei pg le accettano sebbene ci sia la restrizione.
volevo segnalartelo.

comunque prenderemo misure di sicurezza :)

quota

09/02/2012 15:54:41

Dipende da come è stato configurato, ma in generale anche la scelta che consente di introdurre html "libero" è soggetta a forti limitazioni che prevengono attacchi come quello segnalato (ma è un caso estremo per coloro che vogliono usare editor html come il cke).

In generale, consiglio di abilitare sempre e solo l'estensione bbd.

---

quota

Esports

eSports: sempre al top secondo le ultime rilevazioni!

GDR-CD

Prova su strada dell'open source GDR-CD di Romeo Gentile

Creare Mappe Fantasy

Vi presentiamo 5 programmi gratuiti per creare mappe fantasy per i vostri giochi!

Corso Game Design

Presentazione del Corso di approfondimento del Game Design: diventa autore di GdR e Libri Game!