Нове використання аплоадера

22:42 27.09.2008

Основне використання аплоадера при атаці на веб сайт - це завантаження скрипту, для його виконання на сервері. У випадку, коли не можна завантажити скрипт безпосередньо, то його можна завантажити як txt-файл, і використовучи Local File Inclusion уразливість виконати необхідний код. Нещодавно я писав про уразливість в FCKeditor, що дозволяє проводити дану атаку - завантажувати код на сайт, який потім через LFI можна виконати.

Досліджуючи дану уразливість в FCKeditor я виявив, що аплоадер можна використати по іншому. Його можна використати для проведення нового виду атаки через аплоадер - завантаження html-файлу для заміни індексної сторінки (partial deface).

Дана атака може використовуватися для часткового дефейса (однієї директорії), проведення Persistent XSS та HTML Injection атак, для редирекції або розміщення шкідливого коду. І ефективність атаки буде високою, тому що URL на сайті, на який потрібно заманити жертву, не буде виглядати підозріло - це буде адреса директорії на сайті.

Суть атаки зводиться до завантаження index.html файла в діректорію для закачки. У випадку, якщо в налаштуваннях сайта не була задана інша індексна сторінка (тобто виводився список файлів даної директорії) і якщо не було заборонено закачувати index.html (або index.htm чи інші індексні файли), то даний файл виведеться по замовчуванню при заході в дану папку. Що призведе до виконання коду, що міститься в даному файлі.

Ось декілька прикладів похаканих мною сайтів (в Інтернеті можна знайти й інші взломані хакерами сайти):

http://www.labradorwest.com/contentImages/File/

http://www.pequenodavi.org.br/gerencia/docs/File/

З вищезазначеного видно, що навіть обмежений аплоадер (що дозволяє завантажувати html-файли), може бути використаний для проведення різноманітних атак на веб сайт.


Leave a Reply

You must be logged in to post a comment.