Come evitare di aprire una finestra di dialogo di accesso utilizzando un'immagine hotlinked dannosa e l'intestazione Auth di base HTTP?

7

Durante l'utilizzo di Firefox per sfogliare i miei forum, ho notato che un utente malintenzionato ha pubblicato un'immagine (tramite hotlinking, non caricandola sul mio server) con l'estensione .png che è conforme alle regole del forum (permettendo solo .png,. gif, .jpg, .bmp, ecc.). Tuttavia, l'utente ha utilizzato .htacess in modo che venga visualizzata una finestra di autenticazione di base HTTP che chiede all'utente di eseguire nuovamente l'autenticazione.

Questo può ingannare alcuni dei miei utenti a inserire le loro credenziali nella casella, mentre in realtà la casella di autenticazione è per il server su cui è ospitata l'immagine.

Come posso prevenire questo attacco?

    
posta user3196332 06.04.2014 - 02:44
fonte

3 risposte

7

Penso di sapere cosa sta succedendo con te. In realtà, questo è esattamente quello che faccio con l'immagine nella mia sezione "su di me" nei miei profili StackExchange. È un file .php che cattura alcune informazioni sul visitatore (indirizzo IP, tipo di browser, se il visitatore ha reso felice lo smiley o meno, ecc.). Ho semplicemente riscritto l'URL per mostrare due immagini differenti che sono in effetti lo stesso file .php .

Se consenti alle persone di utilizzare i file hotlink (in particolare quelli richiesti automaticamente dal browser, come le immagini), non c'è nulla che tu possa fare al riguardo. Il browser dell'utente si collegherà all'altro server (sul quale è ospitata l'immagine) e richiederà l'immagine da lì. Per il browser, il link punta davvero su un'immagine .png . Non può dire la differenza, né il tuo server / sito.

Questo è un attacco di ingegneria sociale in cui l'attaccante spera che l'utente usi un browser che apre una finestra di dialogo di autenticazione per contenuti misti. Purtroppo, Firefox è uno di quei browser. In molti casi, se all'utente viene presentato un dialogo di accesso sul sito A effettivamente richiesto per il contenuto caricato dal sito B, molto probabilmente l'utente inserirà le credenziali del sito A (il tuo sito) e verrà rubato il suo account.

La soluzione: Dovrai disabilitare i contenuti di hotlink di questo tipo e caricare nuovamente le immagini hotlink sul tuo server e poi servirle sul tuo sito web da lì.

(A febbraio 2016, Firefox è ancora interessato da questo problema tra domini. Chrome mostra solo il popup delle risorse caricate nello stesso dominio)

    
risposta data 06.04.2014 - 23:47
fonte
2

Questo è chiamato un attacco di phishing 403 e l'unico modo per impedirlo è impedire che i contenuti generati dagli utenti contengano collegamenti a risorse esterne che vengono renderizzate sulle tue pagine, come le immagini. Fortunatamente, non è un attacco particolarmente comune, ma può essere preoccupante, in particolare se le credenziali che gli utenti utilizzano sul tuo sito hanno più probabilità della media di avere un valore elevato.

Potresti riuscire a trovare una via di mezzo, ad esempio fonti esterne conosciute in bianco che un aggressore non può controllare come imgur o flickr, per esempio. Tuttavia, se si desidera consentire l'origine di risorse da domini arbitrari, si sarà sempre vulnerabili a questo attacco, almeno fino a quando i produttori di browser non ci forniranno nuove opzioni per il controllo delle diverse sfide di autenticazione HTTP di origine.

    
risposta data 03.11.2014 - 16:09
fonte
-3

se qualcuno è in grado di modificare le voci htaccess sul tuo server probabilmente sei hackerato.

il png potrebbe contenere codice dannoso; puoi incollare l'output di

$ string strangefile.png 

se eseguito sul server? potrebbe essere interessante

What's the worst they can do with .htaccess masking? Any way to prevent it?

hanno accesso al tuo server, molto probabilmente è compromesso, se $ qualcuno è in grado di modificare un file localmente sul tuo server; immagina te stesso, cosa potrebbe accadere allora

    
risposta data 06.04.2014 - 12:29
fonte

Leggi altre domande sui tag