Utilizzo di Lynx su siti Web potenzialmente dannosi

6

Dopo aver bisogno di aggiornare come decomprimere un disco RAM Android, il sito che ricordo avere buone informazioni si presenta con qualcosa di simile a questo:

Essendocauto,mavolendoancoraottenereciòcheerasullapagina,misonorivoltoaLince.

Trovandochelynx-dumphttp://website.com>/where/i/want/itotterrebbeciòdicuihobisogno,michiedo:sonoancoraapertoaqualchetipodiattacco?

Suquesto Mozilla pagina sembra che pagine come questa siano più orientate a indurre qualcuno a fare clic su qualcosa, quindi a scaricare malware.

Sarei al sicuro anche da altri metodi di attacco comuni? Dato che sto solo tralasciando il testo, presumo che lynx non esegua molti degli script necessari per avviare download non autorizzati ecc. Ma non ne so molto su queste cose =)

    
posta Jim 27.08.2015 - 02:06
fonte

3 risposte

7

Riduci notevolmente la superficie di attacco utilizzando lynx o simili, ad esempio non eseguono Javascript né tentano di decodificare e visualizzare le immagini, pertanto eventuali vulnerabilità in questi componenti non influiscono su di esse.

Ma in teoria, sei ancora vulnerabile. Anche in Lynx ci sono ancora componenti che analizzano l'HTML, interagiscono con la rete, tengono traccia dei cookie, ecc. (Suggerimento: usa curl o wget per solo scarica la pagina senza nemmeno analizzarla per essere ancora più attento). Questa è ancora una grande superficie di attacco, anche se a questo punto la considererei abbastanza sicura. Forse non abbastanza sicuro contro un attacco mirato da parte di un potente aggressore, ma sicuramente abbastanza sicuro per siti Web Android casuali.

Si noti che sebbene il sito stesso non vi abbia compromesso, qualsiasi strumento da scaricare e da eseguire potrebbe essere dannoso, tra cui la ROM di Android o qualsiasi altra cosa voleste scaricare. Vi suggerisco di verificare attentamente perché il sito è stato bloccato e fai le tue ipotesi sul fatto che sia sicuro (direi che non è sicuro a meno che non provenga dal produttore del telefono, da Google o da un noto progetto open source e posso verificare che il file sia autentico controllando gli hash pubblicati su HTTPS o una firma GPG ).

    
risposta data 27.08.2015 - 02:58
fonte
4

Come messaggio di avviso che hai ricevuto, è probabile che il sito web visitato esegua un attacco di download drive-by ciò non richiede necessariamente l'interazione dell'utente con la pagina web.

Tuttavia, utilizzando il comando lynx , NON ti porta a essere vittima di tali attacchi perché tutti i tipi di attacchi di download drive-by riescono solo sfruttando, tramite codice JavaScript malizioso con cui lynx non ha attività , le vulnerabilità che il tuo sito web potrebbe avere o quelle che potrebbero avere le estensioni del browser che hai installato.

Tuttavia, lynx potrebbe essere vulnerabile alle altre vulnerabilità come linee di comando simili:

  • wget 1,15 (perde memoria di connessioni precedenti e stato proprio)
  • curl 7.36.0 (https, FTP / IMAP / POP3 / SMTP con --ftp-ssl)

Si noti che le versioni precedenti di lynx per 2.8.5dev9 non controllavano affatto la validità del certificato (non supporta SSL) e, a seconda della versione che si sta eseguendo, potrebbe essere soggetta a errors che un utente malintenzionato potrebbe essere in grado di sfruttare.

In aggiunta a ciò, il comando lynx è noto per essere vulnerabile agli altri tipi di attacchi. Ad esempio, le versioni 2.8.4rel.1 , 2.8.5dev.8 , 2.8.3rel.1 e 2.8.2rel. 1 sono vulnerabili a Iniezione CRLF che consente a un utente malintenzionato di aggiungere altre intestazioni HTTP quando la vittima visualizza una pagina Web usando questo comando.

Devi anche controllare se la tua versione di lince non è vulnerabile per conoscere gli attacchi:

  1. CVE-2008-4690 : esecuzione di codice arbitrario
  2. CVE-2006-7234 : esecuzione di codice arbitrario
  3. CVE-2010-2810 : esecuzione di codice arbitrario, overflow del buffer basato su DoS e heap
  4. CVE-2012-5821 : man-in the middle attack per spoofare i serer SSL
risposta data 27.08.2015 - 06:34
fonte
0

Anche se nessun software è sicuro al 100%, anche le possibilità di utilizzo di qualcosa come lynx, curl o wget non portano a un'infezione perché questi strumenti non sono in grado di gestire Javascript, Flash, Java ecc. i tipici vettori di attacco non funzioneranno. Ma potrebbe anche darsi che tu non veda con questi strumenti le stesse informazioni che ottieni quando visiti con un normale browser, perché molti siti effettivamente dipendono dal funzionamento di Javascript all'interno del browser.

    
risposta data 27.08.2015 - 05:07
fonte

Leggi altre domande sui tag