PAGINA INFETTA?

[franchetiello]

salve a tutti, mentre navigavo alla ricerca di una soluzione per un problema su messenger, mi son imbattuto in un alert di firekeeper:




riporto il log:
riggered rule ===
alert (msg:"smuggling Javascript inside an image"; headers_content:"image"; nocase; headers_re:"/^Content-Type.*image/mi"; body_re:"/<script/i"

=== Request URL ===
http://www.mondoinformatico.info/wp-...images/bug.png

=== Response headers ===
Date: Wed, 22 Apr 2009 14:49:16 GMT
Server: Apache/2.2.3 (CentOS)
Last-Modified: Thu, 12 Feb 2009 16:07:49 GMT
Etag: "2014d-37-ebf53f40"
Accept-Ranges: bytes
Content-Length: 55
Keep-Alive: timeout=5, max=98
Connection: Keep-Alive
Content-Type: image/png

=== Response body ===
.PNG.
.
....PHCK........<script>alert('ciao');</script>

di che si tratta?

[Romagnolo1973]

Quote:

Originariamente inviato da franchetiello

salve a tutti, mentre navigavo alla ricerca di una soluzione per un problema su messenger, mi son imbattuto in un alert di firekeeper:




riporto il log:
riggered rule ===
alert (msg:"smuggling Javascript inside an image"; headers_content:"image"; nocase; headers_re:"/^Content-Type.*image/mi"; body_re:"/<script/i"

=== Request URL ===
http://www.mondoinformatico.info/wp-...images/bug.png

=== Response headers ===
Date: Wed, 22 Apr 2009 14:49:16 GMT
Server: Apache/2.2.3 (CentOS)
Last-Modified: Thu, 12 Feb 2009 16:07:49 GMT
Etag: "2014d-37-ebf53f40"
Accept-Ranges: bytes
Content-Length: 55
Keep-Alive: timeout=5, max=98
Connection: Keep-Alive
Content-Type: image/png

=== Response body ===
.PNG.
.
....PHCK........<script>alert('ciao');</script>

di che si tratta?

Da quel poco che conosco Firekeeper che è al pari di NoScript un programma abbastanza complesso (NoScript lo è molto di più) direi che FK ti ha avvertito con un popup di una possibile minaccia che comunque NoScript ti ha in ogni modo bloccato, ma ovvio grazie al'avviso di FK sai che non devi dare permessi blandi in noscript a quella pagina, magari senza FK attivo qualcuno potrebbe permettere la pagina che ne so per vederla completamente e a quel punto qualche picolo problemino potrebbe averlo. Dopo quell'avviso direi che nessuno acconsente liberamente gli script di quella pagina. A volte i 2 programmi si sovrappongono ma non è una sovrapposizione inutile, anzi aiuta a rendersi conto delle cose, anche qui ci sono interessanti considerazioni sebbene relative a XSS
http://forum.avast.com/index.php?top...4676#msg364676
http://forums.informaction.com/viewtopic.php?f=8&t=89

[franchetiello]

Quote:

Originariamente inviato da Romagnolo1973

Da quel poco che conosco Firekeeper che è al pari di NoScript un programma abbastanza complesso (NoScript lo è molto di più) direi che FK ti ha avvertito con un popup di una possibile minaccia che comunque NoScript ti ha in ogni modo bloccato, ma ovvio grazie al'avviso di FK sai che non devi dare permessi blandi in noscript a quella pagina, magari senza FK attivo qualcuno potrebbe permettere la pagina che ne so per vederla completamente e a quel punto qualche picolo problemino potrebbe averlo. Dopo quell'avviso direi che nessuno acconsente liberamente gli script di quella pagina. A volte i 2 programmi si sovrappongono ma non è una sovrapposizione inutile, anzi aiuta a rendersi conto delle cose, anche qui ci sono interessanti considerazioni sebbene relative a XSS
http://forum.avast.com/index.php?top...4676#msg364676
http://forums.informaction.com/viewtopic.php?f=8&t=89

la cosa migliore è che il popup è comparso prima ancora che visualizzassi la pagina.resta da stabilire cosa sia questo script "ciao"nascosto.grazie come sempre romagnolo

[Romagnolo1973]

Quote:

Originariamente inviato da franchetiello

la cosa migliore è che il popup è comparso prima ancora che visualizzassi la pagina.resta da stabilire cosa sia questo script "ciao"nascosto.grazie come sempre romagnolo

beh io non lo vado a scoprire di certo, meglio rimanere col dubbio, sia io che tu che altri.
Chi lo vuole analizzare deve farlo a ragion veduta sotto macchian virtuale sandbox o returnil e su un mulettino privo di dati sensibili, diversamente meglio restare coi dubbi ma belli sicuri
Poi magari è una cavolata ma meglio non approfondire senza i mezzi appositi.

[franchetiello]

Quote:

Originariamente inviato da Romagnolo1973

beh io non lo vado a scoprire di certo, meglio rimanere col dubbio, sia io che tu che altri.
Chi lo vuole analizzare deve farlo a ragion veduta sotto macchian virtuale sandbox o returnil e su un mulettino privo di dati sensibili, diversamente meglio restare coi dubbi ma belli sicuri
Poi magari è una cavolata ma meglio non approfondire senza i mezzi appositi.

no no infatti non indago mica ..magari pero' qualcuno a cui interessa riesce a risalire allo script contenuto, nel senso che sarebbe bello e utile sapere cosa questa estensione ha bloccato

[riazzituoi]

.

[franchetiello]

Quote:

Originariamente inviato da riazzituoi

Lo script all'ininterno di quell'immagine è innocuo, si tratta di un semplice alert.
Firekeeper ti ha avvisato perchè utilizza delle regole generiche, prese pari pari da snort, e quindi dentro ci sono anche delle restrizioni non specifiche per firefox, il quale, infatti, non esegue script contenuti nelle immagini (nelle immagini puoi infilarci di tutto) a differenza di Internet Explorer (la regola infatti riguarda IE) fino a qualche mese fa.

Se usi già NoScript, Firekeeper risulta essere ridondante, dato che il primo fa già tutte le cose del secondo ma in maniera specifica per firefox (quindi senza falsi allarmi, come questo che hai ottenuto). Tra l'altro a breve NoScript integrerà un nuovo modulo (Application Boundaries Enforcer), una specie di "hips" per il web.

perfetto, grazie anche per l'anticipazione sul prossimo noscript, ottimo a sapersi

[Romagnolo1973]

Quote:

Originariamente inviato da riazzituoi

Lo script all'ininterno di quell'immagine è innocuo, si tratta di un semplice alert.
Firekeeper ti ha avvisato perchè utilizza delle regole generiche, prese pari pari da snort, e quindi dentro ci sono anche delle restrizioni non specifiche per firefox, il quale, infatti, non esegue script contenuti nelle immagini (nelle immagini puoi infilarci di tutto) a differenza di Internet Explorer (la regola infatti riguarda IE) fino a qualche mese fa.

Se usi già NoScript, Firekeeper risulta essere ridondante, dato che il primo fa già tutte le cose del secondo ma in maniera specifica per firefox (quindi senza falsi allarmi, come questo che hai ottenuto). Tra l'altro a breve NoScript integrerà un nuovo modulo (Application Boundaries Enforcer), una specie di "hips" per il web.

Riazzi colgo la palla al balzo, quindi essendo ridondante (io non conosco tutte le possibilità di NoScript e di Firekeeper) lo vado a togliere dalle estensioni di FF che ho consigliato ( e a toglierlo dai miei add-on), sono di fatto 2 cloni , con noscript che fa anche cose in più?

[franchetiello]

si, visto che ci siamo..quindi firekeeper puo' "servire"con le sue segnalazioni a farci capire se permettere tutta la pagina o meno con noscript o semplicemente anticipa cio' che farebbe n.s?

[riazzituoi]

.

[franchetiello]

Quote:

Originariamente inviato da riazzituoi

Se uno si crea delle regole personalizzate in base alle proprie esigenze di sicurezza e/o privacy allora potrebbe anche tornare utile. Se invece si utilizzano solo quelle preimpostate o quelle scaricabili (come quelle per filtrare gli attacchi XSS), risulta essere ridondante con NoScript.

Quindi se uno usa NoScript può farne a meno, se uno non usa NoScript è certamente un addon molto utile.

tutto chiaro,ancora grazie