Ver Mensaje Individual
  #14 (permalink)  
Antiguo 17/12/2011, 19:58
Avatar de jorgelpadronb
jorgelpadronb
 
Fecha de Ingreso: agosto-2011
Ubicación: Cuba
Mensajes: 281
Antigüedad: 13 años, 4 meses
Puntos: 37
Respuesta: Ataques LFI con imágenes

Cita:
Iniciado por HackmanC Ver Mensaje
Hola,



Bueno, realmente te lo digo porque a mi me pasó una vez con un sitio hecho con una versión vieja de un paquete muy popular open source (no menciono el nombre para no hacer mala publicidad ).

El hecho es que el cliente no quiso pagar por una actualización y básicamente nos solicitó que se subiera el sitio sin revisiones ni nada, aún cuando yo hice la aclaración que existía la posibilidad que con versiones antiguas existieran este tipo de problemas.

No pasaron ni dos meses y encontraron la vulnerabilidad, con lo que usaron un simple .gif, el tipo mime y las comprobaciones que hacen este tipo de aplicaciones es simple, no mira el contenido de las imágenes para comprobar que realmente es una imagen.

Lo que quiero decir es que posiblemente, con los ejemplos que mencionas, sea posible agregar un bloque de datos en archivos jpeg, al estilo exif, y en ese caso la vulnerabilidad es mas elegante :D y se salta las comprobaciones de seguridad; pero como no se trata de eso, en cualquier imagen, documento, audio o archivo se puede conseguir, en algunos casos, correr ese archivo como que fuera un script.

Saludos,

ps:

No incluyo muchos detalles porque no se que tan beneficioso sea realmente, nunca revisé a detalle el método que usaron, pero hice una copia de seguridad de la mayoría de los archivos que usaron para ejecutar el script. A simple vista el gif mantenía su estructura en la parte binaria, por lo que un programa de verificación de gifs posiblemente lo hubiera tomado como una imagen gif verdadera.
Saludos. Eso que me cuentas está trmendo hermano. Con un GIF?

En mi caso, yo necesito permitirle a los usuarios que suban sus imágenes. Pensando yo que los JPG eran los archivos de imágenes más propensos a este tipo de intrusiones, consideré la solución de forzar a que las imágenes que se puedan subir sean de otro formato que no sea JPG.

Pero al parecer, aunque lo más frecuente es el JPG, otros formatos también pueden contener cosas raras. Alguna imagen tendrán que poder subir, JPG, GIF o PNG. No se, si todas esas son igual de peligrosas.

Bueno, yo creo que con lo de no enviar las rutas de los Includes por GET ni POST es suficiente para evitar este tipo de ataques. De todas formas me resula incómodo pensar que puedo tener bichos metidos en las imágenes el sitio, aunque de momento no puedan hacer ningún daño. Me quedaría más tranquilos si pudiera filtrar las imágenes que se suben, para más seguridad.

Saludos
__________________
Los hombres pequeños, nunca se sienten pequeños; los hombres grandes, nunca se sienten grandes.

No sé quien fué el que dijo eso, pero está bueno.