Ещё одна тема по сбору информации, в ней предлагаю обсудить информацию о незаметном вторжении, поиске уязвимостей и т.п.

1. Пред проверкой GET-параметра на уязвимость, следует проверить возможность его использования в POST или COOKIES, и если такая возможность существует, GET параметр не убирать, а к примеру маскироваться под парсер. При эксплуатации уязвимости желательно проверить отсутствие админа на сайте встроенными средствами.

2. XSS:

[QUOTE="None"]
Плохо:
alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-

Плагины FireFox, которые будут интересны всем:


Charles XPI
Cookie Whitelist - Включение куков только на нужных нам сайтах
DownloadHelper
Firebug
NoScript
User Agent Switcher
Web Developer


Единственное, чего мне нехватает - выборочное отключение запросов с одного домена на другие сторонние(CSRF GET), для этого дополнения вроде пока нет.

Спущено.

Кто позволил себе удалить последний пост к этой теме?

Еще раз говорю, эти методы бредовые.


Перед проверкой GET-параметра на уязвимость, следует проверить возможность его использования в POST или COOKIES, и если такая возможность существует, GET параметр не убирать, а к примеру маскироваться под парсер


Ага, и спалим саму переменную в уязвимом скрипте(хоть и в гете не эксплуатировалась и никогда не использовалась!) =/

[QUOTE="None"]
Плохо:
alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-alert('xss');
Хорошо:
В 1-ой теме: Всем привет :"->
В 2-ой теме: В 5-ом пункте ссылка битая :'-

XAMEHA said:
Charles XPI
Cookie Whitelist - Включение куков только на нужных нам сайтах
DownloadHelper
Firebug
NoScript
User Agent Switcher
Web Developer


Как эти платины относятся к данной теме, причем они тут?

Вообще, да - методы спорные.

Не стал писать, пока тема висела в группах, но спущенная в паблик означает, что группа согласна с этим и делится информацией со всеми. Поэтому прокомментирую.

1 Согласен с первой частью, вторую оспаривать не буду, но и применять тоже не буду.

2 Наверное да.

3 Ничем не лучше, ловится и по сигнатурам и зрительно одинаково подозрительны. Будут смотреть логи, обязательно проверят оба.

4 См. пункт 3.

5 Наверное да, не факт.

6 Хороший совет, на 100% не спасет, даже на 50, но от ленивого админа очень даже может (конечно, если не анализируют взлом, а просто дежурный просмотр логов).

nikp said:
2 Наверное да.


А вот и нет.

'Всем привет :"->' - это здесь совсем не нужно. Закрытие тега и двойная кавычка для XSS не требуется. Пример (в конце пробел):

[PHP]
PHP:
[COLOR="#0000BB"][COLOR="#007700"]", поэтому даже если ":'-". Независимо от наличия XSS, этот текст подозрений не вызовет.

Не менее часто разработчики допускают серьезную ошибку, не зацикливая "", вследствие чего "script>alert(xss)" после фильтра превращается в "alert(xss)" и код выполняется.

Мой вариант:

Текст 1: "пошли вы все на" - если прошло, больше проверок не нужно (XSS есть). если не прошло, используем текст 2.

Текст 2: "В 5-ом пункте ссылка битая :-o>любой текст" - в любом случае на странице отобразится только "любой текст", независимо от наличия XSS, и никто ничего не заметит.

Немного оффтопа, может кому-то будет интересно.

Объясню, почему закрытие тега при XSS не обязательно. К примеру, код:


PHP:
текст

после предварительной обработки браузером будет выглядеть так:


PHP:


текст



"" для браузера - это пустой атрибут "", закрывающая тег "a". Так как тег "" после таких преобразований остался открытым, браузер исправляет эту "ошибку программиста" и закрывает самостоятельно, добавляя ""

M_Script,спасибо за пример.

Конечно не следует воспринимаемость буквально и ВСЕГДА делать именно так.

3. Пункт может быть полезен тогда, когда ведутся логи SQL-запросов (например на уровне приложения).

2. Смешно, кода выкладывают XSS-ки с alert('xss');. Если сайтом занимаются - уязвимость через пару дней исчезает обязательно.

XAMEHA said:
M_Script,
спасибо за пример.
Конечно не следует воспринимаемость буквально и ВСЕГДА делать именно так.
3. Пункт может быть полезен тогда, когда ведутся логи SQL-запросов.
2. Смешно, кода выкладывают XSS-ки с
alert('xss');
. Если сайтом занимаются - уязвимость через пару дней исчезает обязательно.


Опять к 3. У Вас какие-то неверные подходы/методы(хз как сказать!). Хитрый запрос в лог файле прокатит если админ тупой. Сама проблема тут остаётся. Тут лучше копать в другую сторону. =/

Пример:

Атакующий может обойти логирование запросов к базе данных.


Code:
mysql_query('/*'.chr(0).'*/ SELECT * FROM table');

[B]MySQL

o3 said:
интересно) правда кто использует такую осторожность - все хотят быстро хекнуть и забыть. Не теряя лишнего времени.


Это правило, которое лучше не нарушать.


o3 said:
интересно)а вот про скуль и лфи не понятно что чем спасает.


Общий смысл таков:

- скрыть атаку в логах, или замаскировать.

- при невозможности скрыть, затруднить анализ проведенных действий, или представить атаку неумелой, бессмысленной.


o3 said:
Пишу потому что тс мне нравится, читая его посты, пишет не от балды


Один из немногих, кто еще занимается исследованиями сам.

И публикует их.

спасибо, хорошая статья

достаточно ли одного vpn для маскировки ip или лучше несколько цепочек: тор vpv, анонимайзеры ?

стоит ли лог зафлудить запросами - которые итут от юзеров взломанного сайта ? или лучше рандомизировать в js рандомные что бы были ?

XAMEHA said:
=B]urlencode[/B].


А у вас видео мастер классы есть?

betking said:
А у вас видео мастер классы есть?


Ждите когда он в очередной раз, начнет набирать группу и успевайте занимать места в ней, там вам все будет!)

Добавлю от себя. При возможности выполнять команды, не работайте лишний раз в веб-шелле - делайте бекконнекты.

1.Всегда переименовывайте рабочий процесс бек-коннекта. Простенькая утилиты с подменой первого аргумента в exec вам поможет. Процесс переименованный в процесс веб-сервера (или что вы ломаете) намного незаметнее обычного /bin/bash. Порождаемые подпроцессы обычно висят недолго.

2. Старайтесь не использовать лишних аргументов при запуске бинарников.

К примеру nmap умеет читать CMD из переменных окружения.

NMAP_ARGS="127.0.0.1 80-443" nmap

Совмещая с переименовыванием процесса, можно очень тихо работать из шелла.

3. Отвязывайтесь от родительского процесса перед созданием бекконнекта.

Например sh -c 'perl

Тему нужно было назвать: Что такое хорошо и что такое плохо.

Прочитала +

Эти методы для тупого админа, я бы тему назвал этика хорошего тона