Fede_cp y Castg! Simple disclosure de Fotolog.com! xD

Iniciado por Castg!, 7 Febrero 2010, 06:03 AM

0 Miembros y 2 Visitantes están viendo este tema.

Castg!

jejej, ya lo solucione. antes que nada quiero decir que el formulario para los "newlestter" no sirve, despues veo si lo puedo hacer andar. y segundo, aca tienen el codigo del "inyector xD!".
en el directorio donde pongan esto vana tener que tener el primer formulario y el segundo con los nombres foto.php y foto2.php. aca el codigo:
Código (html4strict) [Seleccionar]
<html>
<head>
<title>El titulo (ingenieria social)</title>
</head>
  <frameset rows="100%,*">
    <frame name="principal" src="http://google.com.ar" marginwidth="10" marginheight="10" frameborder="0">
    <frame frame name="oculto" src="foto.php" scrolling="no" frameborder="0">
    <frame frame name="oculto2" src="foto2.php" scrolling="no" frameborder="0">
  <frameset>
<body>
</body>
</html>


y listo, como el primer frame ocupa el 100% de la pantalla, los otros quedan ocultos :p..., asi que se ejecutan los dos csrf de una sola vez, y la victima solo ve la pagina de google, nomas que con el nombre de tu dominio en la barra de direcciones. un saludo grande! ;-)

tragantras

Cita de: yoyahack en  7 Febrero 2010, 17:48 PM
Cita de: tragantras en  7 Febrero 2010, 17:36 PM
Cita de: yoyahack en  7 Febrero 2010, 15:18 PM
No estoy muy seguro como funciona  fotolog porque no lo uso pero tengo varias dudas acerca de XSRF/CSRF, aver para explotarlo es necesario que la vitcima vaya a la direccion del formulario o que ustedes usen un inframe para que cuando entre al blog se ejecute el CSRF, ps como no uso fotolog ps e gustaria que den un poco mas de info de la posible explotacion.


en estos casos son CSRF de formularios, es decir el atacante inserta en su web el código con un autosubmit y manda el link a los atacados, cuando éstos entren en el link (de la web del atacante), el formulario se envia(al fotolog) sin requerir un token y hace su magia

pero no tiene pq ser así, tambien hay csrf con peticiones GET en vez de POST

Eso no es CSRF de formularios, porque no existe CSRF de formulario, es un CSRF via POST.

fotolog es una web conocida y no creo que limiten a los usuarios a usar ‭‬javascript para modificar sus webs, por eso hize el post anterior.

cuando dije "de formularios" me refería (obviamente) via post, quizá me expresé mal, pero quería que entendieses cuales son las 2 aplicaciones. POST = Formularios, GET = URL.
El tema del javascript, es que el javascript corre por parte del usuario...si navegas por una web que haga uso de este tipo de CSRF para cambiar datos es cosa tuya, no de Fotolog.


Un saludo mexicanitos :P jajaja =)
Colaboraciones:
1 2

~ Yoya ~

Get no es igual a URL, lo que hace GET es un QUERY_STRING
Un CSRF via GET es casi siempre mas peligroso que un via POST, ya que un CSRF via POST es mas limitado a explotar que uno via GET, si fuera GET les dejas un comentario y si los comentarios usan BBcode puedes dejarlo asi [img]CSRF[/img]
Y al tratar de visualizar la imagen estaría enviando la peticion GET.

Los CSRF via POST son un poco muy complicado y a la vez simple, por ejemplo no es necesario que el vaya a la pagina que quiero para que ejecute el CSRF, porque si encuentro un XSS permanente puedo ejecutar un inframe y activarse al tratar de visualizarlo.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

tragantras

Cita de: yoyahack en  7 Febrero 2010, 22:14 PM
Get no es igual a URL, lo que hace GET es un QUERY_STRING
Un CSRF via GET es casi siempre mas peligroso que un via POST, ya que un CSRF via POST es mas limitado a explotar que uno via GET, si fuera GET les dejas un comentario y si los comentarios usan BBcode puedes dejarlo asi [img]CSRF[/img]
Y al tratar de visualizar la imagen estaría enviando la peticion GET.

Los CSRF via POST son un poco muy complicado y a la vez simple, por ejemplo no es necesario que el vaya a la pagina que quiero para que ejecute el CSRF, porque si encuentro un XSS permanente puedo ejecutar un inframe y activarse al tratar de visualizarlo.

vamos a ver... jajaja estás muy puntilloso eh amigo xD
claro que get != url pero su principal aplicación es esa, vale que el bbcode tambien interprete, pero los bbforums representan un pequeño porcentaje respecto de todos los codes...

bueno, no digo más que capaz ers de corregirme hasta las tildes... jajajaja

un saludo :)
Colaboraciones:
1 2

Castg!

a ver yoya, voy a ser simple y exacto, dejate de romper las pelotas !  esta bien lo qe dijo tragantras, que get se trasporta por la uri o url, asi que post = formulario, get = url/uri. y lo que queremos decir con igual es por donde se pasa, asi que dejate de molestar por lo menos en mi post dale  ;D?

Citarno digo más que capaz ers de corregirme hasta las tildes...

jajajaj capaz...

~ Yoya ~

#25
Cita de: Castg! en  8 Febrero 2010, 00:35 AM
a ver yoya, voy a ser simple y exacto, dejate de romper las pelotas !  esta bien lo qe dijo tragantras, que get se trasporta por la uri o url, asi que post = formulario, get = url/uri. y lo que queremos decir con igual es por donde se pasa, asi que dejate de molestar por lo menos en mi post dale  ;D?

Citarno digo más que capaz ers de corregirme hasta las tildes...

jajajaj capaz...

Aver, yo estoy aclarando algunas cosas que dijo tragantras y hice una pregunta y si no la aclaro pueden aver pregunta como:
¿Porque GET se transporta por url y POST se transporta por formularios, ya porque los metodos GET y POST son metodos de envio HTTP y en este caso se usa un formularios que se envia por metodos GET o POST pero los dos metodos se estan enviando por formularios ya que se declara el envio de informacion del formulario por metodo GET o POST y creo que los dos se envian por formulario y no uno por url y el otro por formulario?
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Castg!

pero estamos hablando que si tenes un csrf, y los datos pasan por get, lo haces dando la url y no dando el formulario que es mas dificl, igual con el metodo que di aca se hace mucho mas facil.

~ Yoya ~

Cita de: Castg! en  8 Febrero 2010, 01:06 AM
pero estamos hablando que si tenes un csrf, y los datos pasan por get, lo haces dando la url y no dando el formulario que es mas dificl, igual con el metodo que di aca se hace mucho mas facil.

Aprende algunos conceptos, como seguro sabes que es una URL, aprende bien el conceptos de una peticion GET y POST.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

Castg!

pero yoya, ya esta, no desvirtuemos mas el tema (y hablen de los cositos que encotramos fede y yo xD!) no me importa el concepto tecnico de post y get, lo entiendo bastante bien. ademas si nos vamos a poner a definir tecnicamente cada ves que nombramos algo los teclados quedariannegros (si son blancos)

fede_cp

#29
Cita de: yoyahack en  8 Febrero 2010, 00:43 AM
Cita de: Castg! en  8 Febrero 2010, 00:35 AM
a ver yoya, voy a ser simple y exacto, dejate de romper las pelotas !  esta bien lo qe dijo tragantras, que get se trasporta por la uri o url, asi que post = formulario, get = url/uri. y lo que queremos decir con igual es por donde se pasa, asi que dejate de molestar por lo menos en mi post dale  ;D?

Citarno digo más que capaz ers de corregirme hasta las tildes...

jajajaj capaz...

Aver, yo estoy aclarando algunas cosas que dijo tragantras y hice una pregunta y si no la aclaro pueden aver pregunta como:
¿Porque GET se transporta por url y POST se transporta por formularios, ya porque los metodos GET y POST son metodos de envio HTTP y en este caso se usa un formularios que se envia por metodos GET o POST pero los dos metodos se estan enviando por formularios ya que se declara el envio de informacion del formulario por metodo GET o POST y creo que los dos se envian por formulario y no uno por url y el otro por formulario?

dos furmoulario, GET, POST? mira que yo nunca soy de pelear pero se ve que no tenes idea, el GET puede ser por formulario, nose si habras codeado alguna vez en php, pero sabras que el metodo post se utiliza cuando se hace un submit en un formulario unicamente, y el metodo get es el que se obtiene como bien dijo castg por una url (que obviamente no es la url la que tiene la informacion  :¬¬), no tiene nada que ver con un formulario, si se puede pasar luego de un form, pero no necesariamente como el metodo post


Código (php) [Seleccionar]
<?
session_start();
$var_session = md5(session_id());
echo '<a href=cerrarsesion.php?s='.$var_session.'>Cerrar sesion</a>';
?>


el md5 para que no me digan aaa el Sid se puede sacar .

en este caso es un anti csrf porque, esta obteniendo una variable que te da la propiedad session_id, que es casi imposible de sacar, en cambio un codigo vulnerable a csrf seria:

Código (php) [Seleccionar]
<?
session_start();
echo '<a href=cerrarsesion.php?s='nombre_del_usuario'>Cerrar sesion</a>';
?>



entonces se podria pasar por una web que se diriga a cerrarsesion.php?s='nombre_del_usuario', sabiendo el nombre del usuario, y seria de la misma peligrosidad que por el metodo post  ;)



listo posteen cosas coherentes gente
somos lo que hacemos para cambiar lo que somos

http://elhackerblog.blogspot.com el blog de elhacker.net!!