Discussion:
Endnu et hack-forsøg
(for gammel til at besvare)
Leif Neland
2013-07-15 10:33:06 UTC
Permalink
Et print-script blev kaldt med denne parameter, der søreme ikke var et
heltal...

id=../../../../../../../../../../proc/self/environ&media=Loading Image...&description=Jef+%2F%2F+maneuver.behttp://www.maneuver.be/blog?page=5

Denne gang ligger ip'en i usa.

Leif
--
Husk kørelys bagpå, hvis din bilfabrikant har taget den idiotiske
beslutning at undlade det.
r***@gmail.com
2013-07-16 16:52:55 UTC
Permalink
Post by Leif Neland
Et print-script blev kaldt med denne parameter, der søreme ikke var et
heltal...
Det mest interessante er, om det er målrettet forsøg, eller spredehagl. Det sidste er hammer nemt at gardere sig imod.

Fx. hvordan kom de ind på siden/referrer?
Er GZIP accepteret?
Useragent indhold?
Er der flere angreb efter hinanden med meget kort mellemrum?
Hvad siger projecthoneypot om IP adressen?

id=../../../../../../../../../../proc/self/environ&media=http%3A%2F%2Fwww.maneuver.be%2Fsites%2Fdefault%2Ffiles%2Fstyles%2Fproject-detail-cover%2Fpublic%2Fproject%2FDSC_0042.jpg&description=Jef+%2F%2F+maneuver.behttp://www.maneuver.be/blog?page=5
Post by Leif Neland
Denne gang ligger ip'en i usa.
Jeg kan ikke huske hvad den slags angrebstype hedder, men det er noget med directory traversal.

Anyways, send alt hvad der i querystring indeholder http:// og /../ en 404.

Og/eller så forsøg at gøre query string éntydig med en whitelist. Så er du langt udenfor spredehaglenes (og en del script kiddies) rækkevidde.

Hvis du kan holde indholdet af query string udelukkende til alfa-numeriske karakterer, har de ikke rigtigt nogen angrebsmuligheder den vej.

Men det er måske også hvad du gør...?

I hvert fald er en white list helt i toppen af dit script en glimrende 1. sikkerhedsforanstaltning.


MVH
Rune Jensen
Leif Neland
2013-07-16 18:31:24 UTC
Permalink
Post by r***@gmail.com
Post by Leif Neland
Et print-script blev kaldt med denne parameter, der søreme ikke var et
heltal...
Det mest interessante er, om det er målrettet forsøg, eller spredehagl. Det
sidste er hammer nemt at gardere sig imod.
Fx. hvordan kom de ind på siden/referrer?
Er GZIP accepteret?
Useragent indhold?
Er der flere angreb efter hinanden med meget kort mellemrum?
Hvad siger projecthoneypot om IP adressen?
id=../../../../../../../../../../proc/self/environ&media=http%3A%2F%2Fwww.maneuver.be%2Fsites%2Fdefault%2Ffiles%2Fstyles%2Fproject-detail-cover%2Fpublic%2Fproject%2FDSC_0042.jpg&description=Jef+%2F%2F+maneuver.behttp://www.maneuver.be/blog?page=5
Post by Leif Neland
Denne gang ligger ip'en i usa.
Jeg kan ikke huske hvad den slags angrebstype hedder, men det er noget med
directory traversal.
Anyways, send alt hvad der i querystring indeholder http:// og /../ en 404.
Og/eller så forsøg at gøre query string éntydig med en whitelist. Så er du
langt udenfor spredehaglenes (og en del script kiddies) rækkevidde.
Hvis du kan holde indholdet af query string udelukkende til alfa-numeriske
karakterer, har de ikke rigtigt nogen angrebsmuligheder den vej.
Men det er måske også hvad du gør...?
Ja, jeg vil udelukkende have heltal.

Nogle steder redirecter jeg til forsiden, hvis det ikke er et heltal,
men her dør den bare med en fejl 500, fordi konverteringen til et
heltal fejler.

Det kommer vel ud på et?

Leif
--
Husk kørelys bagpå, hvis din bilfabrikant har taget den idiotiske
beslutning at undlade det.
r***@gmail.com
2013-07-16 20:10:21 UTC
Permalink
Post by Leif Neland
Det kommer vel ud på et?
Joh, det gør det nok, for det er jo en afvisende fejlkode uanset.

Jeg ville også være mest interesseret i at prøve at finde ud af, om angrebet er målrettet.

Jeg har kun oplevet det to gange, og det var ikke særligt prof udført. F.eks. blev referer ikke skjult, og jeg er ret sikker på, han heller ikke kørte med proxy eller andet.


MVH
Rune Jensen

Loading...