[HaBo]

Xalon · 28.03.06, 22:22

Hi,
jemand aus dem HaBo,der seinen Namen nicht nennen will,hat mir von einer Lücke in
diversen Browserspielen,Foren(?) etc erzählt.
Genauergesagt eine Methode mit Fakeavataren SessionIds zu klauen.
Und da mein letzter Artikel mit 2.820 Hits doch recht "rege besucht" wurde hab ich hierzu
auch einen geschrieben...
Der Angriff funktioniert aber nur wenn die SessionIds über GET übergeben werden.
Ein Beispiel dafür ist h**t://ogame.de.
Naja,hier der Link zur genauen Beschreibung:
Klick mich!

Xalon

**Elderan** · 29.03.06, 18:27

Hallo,
also man kann auch einfach ein Link posten, und dann den Referer abspeichern.

Eine Gegenmaßnahme ist: Im Board nicht direkt verlinken, sondern den User erst an einen interne Seite weiterleiten, die dann eine Weiterleitung auf die Seite macht. Dabei darf der Link auf die interne Seite nicht mehr die SID enthalten.

Zu deinem Image-Trick: Es wäre schön wenn Script-Programmierer auf wirklich nur jpg, gif und png zum Einbinden erlauben würde, wobei dann das Problem mit dynamischen Images die per php ausgegeben werden entsteht, wie man das oft bei 1-Klick-Hostern sieht.

Anzeige

- Anzeige -

Xalon · 29.03.06, 19:56

Klar kann man nen Link posten,aber dann muss der User eben draufklicken ;P

Xalon

2Bios · 29.03.06, 21:06

damit mach ich schon seit längerem in einem forum: ein bild mit perl, in dem z.b. der name usw der aufrufenden person vorkommt

Xalon · 30.03.06, 15:28

Du nimmst also die SessionId und rufst mit der das Forum aus,wobei du dann Name etc. speicherst??

WTF?!

Xalon

ghostdog · 30.03.06, 15:32

Wie heißt nochmal die Eigenschaft, die man in der phpconfig.ini ändern muss, damit man nur noch mit $_POST[''] übergeben kann?

abcd · 30.03.06, 16:37

Mhm, und wie macht man das dann das die Sid irgendwo gespeichert wird? Der Artikel gefällt mir

**Mackz** · 30.03.06, 16:57

Zitat:

Original von ghostdog
Wie heißt nochmal die Eigenschaft, die man in der phpconfig.ini ändern muss, damit man nur noch mit $_POST[''] übergeben kann?

register_globals = OFF

Xalon · 30.03.06, 17:14

@abcd:

Code:

<?php
$file=fopen("referer.dat","a");
fputs($file,$_SERVER[HTTP_REFERER]);
fclose($file);
header("Content-Type: image/jpeg");
readfile("ava.jpg");
?>

Ungetestet ;P

Xalon

2Bios · 30.03.06, 17:29

@xalon: das script macht eine httpanfrage auf die nutzer-profil-seite des jeweiligen forums und übergibt dabei in der url die session-id. mit einem regex kommst du dann z.b. an den namen ran

das ganze funktioniert aber auch nur, wenn, wie gesagt, im referrer die session-id steht. wenn man aber das script auf einer unterseite des forums hat (ein bisschen user-webspace), kommt man an die session-id auch via cookie ran

BattleMaker · 30.03.06, 18:11

Zitat:

Original von Mackz

Zitat:

Original von ghostdog
Wie heißt nochmal die Eigenschaft, die man in der phpconfig.ini ändern muss, damit man nur noch mit $_POST[''] übergeben kann?

register_globals = OFF

Diese Eigenschaft verhindert aber nur, dass Variablen aus der Adresszeile (also per GET übergebene Parameter) unmittelbar als Variablen des Scripts übernommen werden.
Es ist nach wie vor möglich, per $_GET-Array die Variablen aus der Adresszeile auszulesen.

MfG, BattleMaker

Xalon · 30.03.06, 18:37

Zitat:

Original von 2Bios
@xalon: das script macht eine httpanfrage auf die nutzer-profil-seite des jeweiligen forums und übergibt dabei in der url die session-id. mit einem regex kommst du dann z.b. an den namen ran

das ganze funktioniert aber auch nur, wenn, wie gesagt, im referrer die session-id steht. wenn man aber das script auf einer unterseite des forums hat (ein bisschen user-webspace), kommt man an die session-id auch via cookie ran

Hmmm ja das hab ich doch gesagt

Xalon

abcd · 30.03.06, 19:34

Zitat:

Original von Xalon
@abcd:

Code:

<?php
$file=fopen("referer.dat","a");
fputs($file,$_SERVER[HTTP_REFERER]);
fclose($file);
header("Content-Type: image/jpeg");
readfile("ava.jpg");
?>

Ungetestet ;P

Xalon

sorry ich verstehs immer noch nicht... ich hab mich jetzt mal zmu test bei ogame angemeldet. aber da kann man doch nur ein jpg file und kein php file als allianzlogo angeben!? ?(

mfg

Xalon · 30.03.06, 19:52

Hmm ich weiß nicht,kann sein das sies geändert haben...Aber mit eigenem Server kann man die Endung von PHP Scripts ändern

Xalon

abcd · 30.03.06, 20:17

Also meinst du praktisch das php file aufn eigenen webspace laden und in jpg umbenennen? und dann da angeben?
wenn ja wie macht man dann, dass da auch ein bild angezeigt wird im php code?

mfg

Anzeige

- Anzeige -

28.03.06, 22:22	#1 (permalink)
Xalon Registriert seit: 23.05.05 Likes: 0	SessionId durch Fakeavatar klauen Anzeige Hi, jemand aus dem HaBo,der seinen Namen nicht nennen will,hat mir von einer Lücke in diversen Browserspielen,Foren(?) etc erzählt. Genauergesagt eine Methode mit Fakeavataren SessionIds zu klauen. Und da mein letzter Artikel mit 2.820 Hits doch recht "rege besucht" wurde hab ich hierzu auch einen geschrieben... Der Angriff funktioniert aber nur wenn die SessionIds über GET übergeben werden. Ein Beispiel dafür ist h**t://ogame.de. Naja,hier der Link zur genauen Beschreibung: Klick mich! Xalon

30.03.06, 15:32	#6 (permalink)
ghostdog Senior Member Registriert seit: 18.05.04 Likes: 0	Wie heißt nochmal die Eigenschaft, die man in der phpconfig.ini ändern muss, damit man nur noch mit $_POST[''] übergeben kann? __________________ Die neuen Desire Z und Desire HD Smartphones

30.03.06, 17:14	#9 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	@abcd: Code: <?php $file=fopen("referer.dat","a"); fputs($file,$_SERVER[HTTP_REFERER]); fclose($file); header("Content-Type: image/jpeg"); readfile("ava.jpg"); ?> Ungetestet ;P Xalon

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
vpn durch ssh etc	lestat	Network · LAN, WAN, Firewalls	5	18.10.06 14:39
ASM-Funktionen mit C++ "klauen"	sd333221	Code Kitchen	7	01.10.06 10:12
W-Lan durch 4 Etagen	Don Poncho	WLAN-Zone	10	14.12.05 21:02
klauen von dyndns adressen möglich (man in the middle attacke)	augustiner	(In)security allgemein	4	09.11.04 19:43

29.03.06, 18:27	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, also man kann auch einfach ein Link posten, und dann den Referer abspeichern. Eine Gegenmaßnahme ist: Im Board nicht direkt verlinken, sondern den User erst an einen interne Seite weiterleiten, die dann eine Weiterleitung auf die Seite macht. Dabei darf der Link auf die interne Seite nicht mehr die SID enthalten. Zu deinem Image-Trick: Es wäre schön wenn Script-Programmierer auf wirklich nur jpg, gif und png zum Einbinden erlauben würde, wobei dann das Problem mit dynamischen Images die per php ausgegeben werden entsteht, wie man das oft bei 1-Klick-Hostern sieht.

29.03.06, 19:56	#3 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Klar kann man nen Link posten,aber dann muss der User eben draufklicken ;P Xalon

29.03.06, 21:06	#4 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	damit mach ich schon seit längerem in einem forum: ein bild mit perl, in dem z.b. der name usw der aufrufenden person vorkommt

30.03.06, 15:28	#5 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Du nimmst also die SessionId und rufst mit der das Forum aus,wobei du dann Name etc. speicherst?? WTF?! Xalon

30.03.06, 16:37	#7 (permalink)
abcd Registriert seit: 14.07.05 Likes: 0	Mhm, und wie macht man das dann das die Sid irgendwo gespeichert wird? Der Artikel gefällt mir

30.03.06, 17:29	#10 (permalink)
2Bios Senior Member Registriert seit: 28.08.05 Likes: 0	@xalon: das script macht eine httpanfrage auf die nutzer-profil-seite des jeweiligen forums und übergibt dabei in der url die session-id. mit einem regex kommst du dann z.b. an den namen ran das ganze funktioniert aber auch nur, wenn, wie gesagt, im referrer die session-id steht. wenn man aber das script auf einer unterseite des forums hat (ein bisschen user-webspace), kommt man an die session-id auch via cookie ran

30.03.06, 19:52	#14 (permalink)
Xalon Themenstarter Registriert seit: 23.05.05 Likes: 0	Hmm ich weiß nicht,kann sein das sies geändert haben...Aber mit eigenem Server kann man die Endung von PHP Scripts ändern Xalon

30.03.06, 20:17	#15 (permalink)
abcd Registriert seit: 14.07.05 Likes: 0	Also meinst du praktisch das php file aufn eigenen webspace laden und in jpg umbenennen? und dann da angeben? wenn ja wie macht man dann, dass da auch ein bild angezeigt wird im php code? mfg

[HaBo]

SessionId durch Fakeavatar klauen