[HaBo]

Alitis

Hi,

ich habe vorhin auf tecchannel eine News gelesen die über DNS-Rebinding berichtete. Ich dachte bis dahin das JavaScript eigentlich keinen Bösartigen Code ausführen könne was anscheinend nicht so ist.

Kennt sich jemand mit dem Thema aus? Würde gerne erfahren wiso soetwas möglich ist und wie man sich dagegen Schützen kann, abgesehen davon wenn man die "infizierende" Website nicht besucht.

Also ich möchte hier keine Anleitung aka Howto: DNS-Rebinding nicht dad das jmd falsch versteht, ich möchte lediglich mehr darüber wissen

Bis dann!

Chromatin

Ein solcher Code ist per se nicht boesartig. Es werden lediglich Eigenarten genutzt die das rebinding ermoeglichen.

Schuetzen kann man sich am idealsten durch das abschalten von JavaScript.

Da dieser "Angriff" uralt ist, ist der auch bestens dokumentiert. Im Netz findest du allerhand Beispiele um das selbst mal auszuprobieren.

Im uebrigen ein sehr spannendes Thema, besonders fuer die Forensiker, da es unheimlich schwer ist, solche Angriffe aufzuspueren.

http://www.ks.uni-freiburg.de/php_te...ils.php?id=415

http://www.zdnet.de/protecting_brows...88064310-1.htm

http://crypto.stanford.edu/dns/

__________________
Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

Habo Blog - http://blog.hackerboard.de/

Alitis

Super! Danke da werde ich mich mal einlesen ich finde nämlich auch das das Thema sehr spannend ist.

blobbo

Ich hab mir mal das pdf im ersten Link unter Materialen durchgelesen und hätte mal eine Frage (http://www.ks.uni-freiburg.de/downlo...SRebinding.pdf).
In dem Szenario etwas weiter unten wird ja beschrieben, dass ein Opfer "www.attacker.com" eingibt und dann unter "dns.attacker.com" die Domain in eine IP-Adresse aufgelöst wird. Jetzt ist mir aber nicht klar, wieso dieser DNS Server gewählt wird. Kann es nicht auch seien, dass ein anderer gewählt wird? Es ist ja auch eher unüblich, dass jede Seite einen eigenen DNS-Server hat!?
Wie wird da also erzwungen, dass der Attacker-DNS-Server gewählt wird?

Dresko

Doch, jede Domain hat mindestens einen Nameserver, der die Zonendatei verwaltet. Oft werden die halt direkt vom Webhoster betrieben, sodass man sich bei kleinen Webspace-Paketen darüber keine Gedanken machen muss.
Gefunden werden die passenden Nameserver z.B. durch Rekursion. Du frägst deinen T-Online-DNS, der frägt die Root-NS und einer von ihnen schaut nach wer für .com zuständig ist, und dieser wiederrum kann dir dann sagen wer die Informationen für attacker.com vorhält.

Hier kannst du dir das genauer nachlesen. Und hier findest du die RFC dazu.

__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
- Rick Cook -

blobbo

Ah dank dir! Jetzt hat's klick gemacht und ich habs begriffen
[Edit]
Wobei mich noch interessieren würde ob es aktuell noch DNS-Rebinding Angriffe gibt die trotz Pinning funktionieren?

Alitis

Anscheinend schon.
http://www.bitsploit.de/archives/396...S-Pinning.html

Wie sieht das denn jetzt im Allgemeinen aus, wie angreifbar ist z.b. Firefox auf so eine Art und Weise?

Dresko

Scheinbar verwundbarer als manch anderer Browser:
http://ha.ckers.org/blog/20091029/dn...ng-in-mozilla/

__________________
Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.
- Rick Cook -

Alitis

Top -_- die sollen sich mal mit 4.0 beeilen ;D

deadline

Hallo zusammen

Auch ich habe eine Frage dazu. Und zwar verstehe ich nicht wieso der DNS Server mit einer LAN IP-Adresse antwortet. Sollte dies der Schadcode verursachen, müsste ja keine DNS Anfrage gestellt werden, rsp. würde nicht der DNS sondern der Schadcode mit einer lokale IP antworten.

Kann das mir jemand erklären?

Vielen Dank

Greeez