|
|
|
|
Strumenti |
06-10-2008, 17:20 | #21 | ||||
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
Quote:
Quote:
Quote:
uhm... questo e' cio che dice lui, ma sul ha.ckers.org abbiamo: # Giorgio Maone Says: September 19th, 2008 at 2:02 pm @Jeremiah, RSnake: could you share privately some more details with me? Maybe NoScript could reach a perfect 100% # Jeremiah Grossman Says: September 20th, 2008 at 7:35 am Hi Giorgio, not right now, sorry. Soon though we hope. However, I believe those running NoScript and other security plug-ins like it really have a low probability of being impacted. Almeno fino ad oggi 6 Oct non ho trovato nessuna traccia di una "ufficiale" collaborazione tra Hansen&Grossman e Maone. Non ho trovato da nessuna parte dove Hansen o Grossman dicono di aver spiegato tutto a Maone affinche' egli aggiorni Noscript di conseguenza. Che possiamo dire in merito? Boh.. |
||||
06-10-2008, 17:55 | #22 |
Bannato
Iscritto dal: Aug 2007
Messaggi: 3847
|
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:44. |
06-10-2008, 18:00 | #23 | |
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
Cmq se e' vero che c'e' stata collaborazione, tanto meglio per lui e soprattutto chi usa Noscript |
|
06-10-2008, 21:04 | #24 |
Senior Member
Iscritto dal: Nov 2001
Città: Bastia Umbra (PG)
Messaggi: 6375
|
Da quello che ho capito (da persone più esperte di me in questo specifico settore) questa tipologia di attacco è abbastanza vecchia, addirittura alcuni esempi sono datati 2005
__________________
:: Il miglior argomento contro la democrazia è una conversazione di cinque minuti con l'elettore medio :: |
06-10-2008, 21:19 | #25 | |
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
Cmq devo preparare un'altra demo su una variante |
|
07-10-2008, 09:49 | #26 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
__________________
Try again and you will be luckier.
|
07-10-2008, 10:01 | #27 |
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
|
07-10-2008, 10:06 | #28 | |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Quote:
__________________
Try again and you will be luckier.
|
|
07-10-2008, 17:43 | #29 |
Senior Member
Iscritto dal: Dec 2006
Messaggi: 975
|
Non ho capito una cosa,
di default IE7 sarebbe già al riparo? Scusate ma non ho capito il passaggio |
07-10-2008, 17:56 | #30 | |
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
E' meno vulnerabile degli altri se confronti i browser a condizioni e impostazioni di default. Questo tipo di attacco avrebbe senso se portato contro un sito nel quale la vittima e' in quel momento loggato. Almeno per la maggioranza dei siti con autenticazione - e' probabile che dei cookies siano stati salvati nel browser nel momento in cui l'utente si e' loggato, in modo da evitare un nuovo login ad ogni volta (a parte discorso della scadenza dei cookies ecc). In queste condizioni, l'attacco funzionerebbe con Internet Explorer soltanto se hai una sessione attiva del sito vittima, mentre visiti il sito diciamo "maligno". In quel modo e' possibile, per il sito maligno, far si' che il sito vittima acceda ai suoi cookies anche dall'interno di un iframe. Ma se non hai sessioni attive del sito vittima in quel momento, allora non dovrebbe avere successo poiche' il sito vittima stesso, quando eseguito in un iframe, non puo' accedere ai suoi stessi cookies a causa della implementazione di P3P di IE. Con gli altri browsers, invece, in condizioni normali e' sufficiente che tu sia loggato e abbia ancora i cookies di autenticazione nel browser, perche' la cosa funzioni. Anche se non hai sessioni attive del sito vittima in quel momento. |
|
07-10-2008, 17:59 | #31 |
Bannato
Iscritto dal: Aug 2007
Messaggi: 3847
|
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:45. |
07-10-2008, 18:05 | #32 | ||
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
Quote:
|
||
07-10-2008, 18:46 | #33 |
Senior Member
Iscritto dal: Dec 2006
Messaggi: 975
|
Ok adesso è chiaro
Ti ringrazio per la esauriente spiegazione |
08-10-2008, 10:19 | #34 |
Moderatore
Iscritto dal: Jun 2007
Città: 127.0.0.1
Messaggi: 25885
|
Adobe Security advisory
__________________
Try again and you will be luckier.
|
08-10-2008, 10:35 | #35 | |
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
Con questi trucchetti sembra che le applicazioni siano infinite La seconda demo che stavo preparando riguarda java. Ho messo un piccolo uploader Java nella pagina ed un falso link. Se Java e' installato nel sistema, col falso click faccio fare upload del file desktop.ini della cartella Documents dell'utente (giusto un file a tromba come PoC ) Cmq stavo avendo problemi e l'ho temporaneamente lasciata perche' devo lavorare. Ma il concetto e' chiaro: Java puo' essere anche piu' pericoloso di Flash in determinate condizioni. |
|
08-10-2008, 10:53 | #36 |
Bannato
Iscritto dal: Aug 2007
Messaggi: 3847
|
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:45. |
08-10-2008, 11:07 | #37 | |
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
Cmq sembrerebbe confermato che si tratta dei trucchetti di cui parlavamo, o comunque di quel genere di cose. Perche' e' stata fatta passare per cosa nuova, se e' questo il caso? |
|
08-10-2008, 11:20 | #38 |
Bannato
Iscritto dal: Aug 2007
Messaggi: 3847
|
.
Ultima modifica di riazzituoi : 29-04-2010 alle 11:45. |
08-10-2008, 11:38 | #39 | ||
Registered User
Iscritto dal: Nov 2006
Città: Espoo, Finland
Messaggi: 1631
|
Quote:
Quote:
Puo' anche darsi che questo clickjacking sfrutti roba vecchia ma in un modo completamente nuovo. Se riesco ad avere tempo daro' una occhiata anche a Noscript, per vedere cosa implementa e come si comporta; ad una veloce lettura del post di Maone a riguardo, la soluzione mi sembra carina, intendo quel genere di alert cosi' bene esplicativo. Come gia' detto diverse volte non mi piacciono molti aspetti di Noscript, pero' se l'autore riuscisse a trasformarlo in una sorta di hips con alerts fatti bene come questo "ClearClick", allora si' che sarebbe figo! Significherebbe che un sito potrebbe funzionare normalmente, e che Noscript interverrebbe soltanto quando un'azione potenzialmente pericolosa avviene. Ma per forza di cose una simile soluzione e' molto difficile, sempre se possibile, da realizzare. Tra Javascript e CSS, e tutte le infinite modalita' di scrittura e offuscamento possibili... hai voglia Piccolo OT: un paio di giorni fa ho visto una vulnerabilita' nei Gadgets di Google nella gestione del mash up tra i diversi domini... non ho letto ancora niente in proposito quindi non so se si sa gia'. Cmq in pratica da un gadget puoi compromettere il comportamento di un altro gadget (se questo e' presente nella stessa pagina). Nelle prove che ho fatto avevo il gadget di Google Docs e quello di prova nella stessa pagina, e dal mio ho letto la lista dei documenti dall'altro gadget. Questa cosa gia' da sola... lol. O blocchi tutto e dimentichi mashups fatti in questo modo, rinunciando a tutte le funzionalita' connesse, o rischi sempre e comunque. La vedo dura realizzare una soluzione tipo hips come dicevo prima Ieri poi leggevo la draft dell'html 5, circa gli aggiornamenti sull'integrazione di un sistema per il cross domain scripting. STRA-LOL: E' gia' vulnerabile alla base, all'origine del concetto: si baserebbe su una sorta di autorizzazioni a livello di domini (cioe' potrai, per esempio, autorizzare il dominio A ad inviare messaggi al dominio B), ma il bello e' che i domini vengono trasmessi come semplici stringhe nello scambio di messaggi. E quanto ci vuole, in questo modo, a fare fake requests o inviare messaggi facendosi passare per un altro dominio? |
||
08-10-2008, 11:50 | #40 | |
Senior Member
Iscritto dal: Nov 2005
Messaggi: 1868
|
Quote:
Non ci si scappa, l'architettura alla base è troppo debole, si ha pensato troppo alle funzionalità e troppo poco alla sicurezza. Ora ne hai voglia di metterci pezze. Un hips per verificare il comportamento del codice web penso sarebbe ancora più complesso rispetto a quelli che conosciamo. Buona l'idea, ne ho sentito parlare anche un annetto fa, da qui ad implementarla... è una grande sfida.
__________________
[ W.S. ] |
|
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 06:59.