Hardware Upgrade Forum - View Single Post - Non cliccate su quel link

Sisupoika · 22-09-2007, 13:31

Ciao WS!

Grazie per il feedback, attendo anche quello di Sampei che aveva fatto anche diverse altre prove.

Per il Javascript, purtroppo ho dovuto eliminare una parte della storia perche' una parte non mi funzionava sull'hosting mentre sul mio laptop va a meraviglia!

In pratica ho dovuto mettere il js in maniera "statica", da cui i tre link che hai visto - la maniera piu' semplice che ho trovato la scorsa notte per far funzionare la cosa ovviando a questo problema, che e' diciamo "OT"

Ci stavo impazzendo e non ho capito perche' non funzioni live.

Sul sistema "completo" uso un caricamento dinamico una catena di tre web requests, due sul server e una sul client con ajax, e non esiste alcun file JsX.aspx: ho usato invece un http handler che accetta nomi random in ingresso e genera il js in tre parti con un offuscamento dinamico (alcune parti sono differenti ad ogni richiesta), che viene poi letto ed interpretato dal client altrettanto dinamicamente con una routine ajax - se js e' abilitato - e lo aggiunge agli eventi pagina.

Senza entrare troppo in dettaglio, il giochetto che ho fatto fa in modo che il Js non possa essere salvato con curl o wget per esempio, funzionando solo nel browser - questa era la novita' cui avevo accennato in privato a proposito, se ricordi.
Inolte l'offuscamento e' fatto in modo che anche se usi ethereal etc non ci capiresti una mazza perche' non ci sono caratteri di inizio e fine o altri elementi che possono aiutare ad individuare qual'e il js. E anche se ci si riesce, si tratta solo di stringhe crittografate (non piu' solo offuscate dunque!) e decodificabili dal client sempre attraverso il giochetto delle web requests a catena.
Per quanto ne sappia io, non conosco al momento un modo per ritrovare il js originale in questo modo, ma spero di risolvere i problemi che ho trovato con l'hosting cosi' da postare un aggiornamento e invitarti e invitarvi a provare.

Il problema che ho con l'hosting e' che in pratica sembra bloccare le due web requests lato server facendo finire tutta storia in Timeout e rovinando il gioco.

Penso, ma non sono sicuro, che si tratti di un problema di restrizioni di sicurezza sulle loro macchine, ma al momento non ne ho la piu' pallida idea del come.
Il problema e' che non so se contattarli o meno...non e' che posso scrivere loro una mail dicendo "ho problemi nel testare un attacco phishing o drive-by sul vostro hosting, mi aiutate a risolvere?"

Quindi mi tocca trovare un rimedio; inoltre la libreria che ho scritto per quel sistema di crittografia di cui ti parlavo, che usa la stringa stessa come una delle due chiavi, neanche funziona live ritornandomi una non meglio specificata "unhandled exception"

Ma che azz vuol dire? .NET e' fantastico ma non immune alle cazzate di mamma Ms in merito ai messaggi di errore, mai helpful

Per risolvere la cosa temporaneamente e far funzionare almeno il discorso della simulazione di phishing, tema del thread, ho in pratica eliminato tutte le web requests prendendo i response gia' generati da un run sul mio laptop, e menttendoli statici col solo controllo delle variabili di sessione. Ovviamente gia' questo rovina tutta la parte dinamica; inoltre ho dovuto eliminare anche la web request che uso per caricare al volo il sito "vittima" (hwupgrade) ed effettuare la riscrittura dinamica di hrefs, srcs ecc proprio come un web proxy (

) e sfruttando la pagina reale del sito vittima invece di crearne una copia come quelle spesso mal fatte usate negli attacchi di phishing veri. E questa e' una figata, perche' riflettendo il sito vittima com'e' esattamente in quel momento, rende piu' difficile l'individuazione che si tratti di un clone.
Anche in questo caso, ho purtroppo eliminato la web requests e la riscrittura dinamica, per il problema di cui sopra, e messo sul server una copia gia' pronta generata dal mio laptop, come semplice file di testo da leggere come sorgente. Hai provato anche ad immettere dati di login e farti loggare nel forum? A parte l'alert che non ci sarebbe in un attacco vero, il tutto procederebbe normalmente e un utente comune non si accorgerebbe di nulla.

Cmq vedo di risolvere quei problemi e non appena riesco (hopefully) aggiorno la cosa cosi' potete provare il sistema completo.

Per ora l'importante e' che riesca a rendere l'idea del sistema di phishing

Ciaps!

S

22-09-2007, 13:31	#4
Sisupoika Registered User Iscritto dal: Nov 2006 Città: Espoo, Finland Messaggi: 1631	Ciao WS! Grazie per il feedback, attendo anche quello di Sampei che aveva fatto anche diverse altre prove. Per il Javascript, purtroppo ho dovuto eliminare una parte della storia perche' una parte non mi funzionava sull'hosting mentre sul mio laptop va a meraviglia! In pratica ho dovuto mettere il js in maniera "statica", da cui i tre link che hai visto - la maniera piu' semplice che ho trovato la scorsa notte per far funzionare la cosa ovviando a questo problema, che e' diciamo "OT" Ci stavo impazzendo e non ho capito perche' non funzioni live. Sul sistema "completo" uso un caricamento dinamico una catena di tre web requests, due sul server e una sul client con ajax, e non esiste alcun file JsX.aspx: ho usato invece un http handler che accetta nomi random in ingresso e genera il js in tre parti con un offuscamento dinamico (alcune parti sono differenti ad ogni richiesta), che viene poi letto ed interpretato dal client altrettanto dinamicamente con una routine ajax - se js e' abilitato - e lo aggiunge agli eventi pagina. Senza entrare troppo in dettaglio, il giochetto che ho fatto fa in modo che il Js non possa essere salvato con curl o wget per esempio, funzionando solo nel browser - questa era la novita' cui avevo accennato in privato a proposito, se ricordi. Inolte l'offuscamento e' fatto in modo che anche se usi ethereal etc non ci capiresti una mazza perche' non ci sono caratteri di inizio e fine o altri elementi che possono aiutare ad individuare qual'e il js. E anche se ci si riesce, si tratta solo di stringhe crittografate (non piu' solo offuscate dunque!) e decodificabili dal client sempre attraverso il giochetto delle web requests a catena. Per quanto ne sappia io, non conosco al momento un modo per ritrovare il js originale in questo modo, ma spero di risolvere i problemi che ho trovato con l'hosting cosi' da postare un aggiornamento e invitarti e invitarvi a provare. Il problema che ho con l'hosting e' che in pratica sembra bloccare le due web requests lato server facendo finire tutta storia in Timeout e rovinando il gioco. Penso, ma non sono sicuro, che si tratti di un problema di restrizioni di sicurezza sulle loro macchine, ma al momento non ne ho la piu' pallida idea del come. Il problema e' che non so se contattarli o meno...non e' che posso scrivere loro una mail dicendo "ho problemi nel testare un attacco phishing o drive-by sul vostro hosting, mi aiutate a risolvere?" Quindi mi tocca trovare un rimedio; inoltre la libreria che ho scritto per quel sistema di crittografia di cui ti parlavo, che usa la stringa stessa come una delle due chiavi, neanche funziona live ritornandomi una non meglio specificata "unhandled exception" Ma che azz vuol dire? .NET e' fantastico ma non immune alle cazzate di mamma Ms in merito ai messaggi di errore, mai helpful Per risolvere la cosa temporaneamente e far funzionare almeno il discorso della simulazione di phishing, tema del thread, ho in pratica eliminato tutte le web requests prendendo i response gia' generati da un run sul mio laptop, e menttendoli statici col solo controllo delle variabili di sessione. Ovviamente gia' questo rovina tutta la parte dinamica; inoltre ho dovuto eliminare anche la web request che uso per caricare al volo il sito "vittima" (hwupgrade) ed effettuare la riscrittura dinamica di hrefs, srcs ecc proprio come un web proxy ( ) e sfruttando la pagina reale del sito vittima invece di crearne una copia come quelle spesso mal fatte usate negli attacchi di phishing veri. E questa e' una figata, perche' riflettendo il sito vittima com'e' esattamente in quel momento, rende piu' difficile l'individuazione che si tratti di un clone. Anche in questo caso, ho purtroppo eliminato la web requests e la riscrittura dinamica, per il problema di cui sopra, e messo sul server una copia gia' pronta generata dal mio laptop, come semplice file di testo da leggere come sorgente. Hai provato anche ad immettere dati di login e farti loggare nel forum? A parte l'alert che non ci sarebbe in un attacco vero, il tutto procederebbe normalmente e un utente comune non si accorgerebbe di nulla. Cmq vedo di risolvere quei problemi e non appena riesco (hopefully) aggiorno la cosa cosi' potete provare il sistema completo. Per ora l'importante e' che riesca a rendere l'idea del sistema di phishing Ciaps! S Ultima modifica di Sisupoika : 22-09-2007 alle 13:33.