Re: [Ovillo] Vulnerabilidad HTML

[Pablo Muñoz]

Hola @Jimmy,

Pess si creo que utiliza opensource... y PHP donde lo dejas?

Cuando hago referencia a oscomerce es porque ya exactamente quien la hackeo
a ella tambien lo hizo con un cliente mio que utiliza Oscomerce y el
problema es que (oscomerce, especificamente en la version que utiliza mi
cliente) se confian de las magic quotes, de alli deriva el problema.

Lo que recomende a Eva que hiciera es que escape las comillas simples o
comillas dobles dependiendo del caso de ella, un ejemplo facil de lo que
posiblemente le hicieron fue esto:

imaginense una variabe $pepe y su contenido sea este:

esta es la variable pepe ".system(echo 'hola mundo')." y aqui sigue la
variable

Ok hasta aqui no hay problemas, pero cuando hago algo como:

echo "variable pepe dice ".$pepe;

sucedera que el contenido de la variable pasa de ser cadena a codigo de
ejecucion.

Por eso le recomende a Eva que utilizara el escapado de comillas dobles o
simples segun sea su caso.

Mi cliente tiene su servidor en hostmonster y ellos tienen una buena
seguridad pero a este tipo de problemas no hay seguridad que valga en el
server. En este caso, como el de Eva es obvio que el problema es de codigo.

lo que tienes que hacer, antes de utilizar la variable (en el ejemplo
anterior) es bien sea reemplazar las comillas dobles con un backslash (\)
antes que la comilla, esto le dice al codigo que lo que viene es cadena y no
fin de un trozo de la variable o el mismo fin de ella, y lo que sucedera a
continuacion es que, como en el caso de Eva lo que hace es enviar un mail,
al correo llegara exactamente lo que contiene la variable $pepe.

Es Obvio, mas que todo porque el atacante ya es conocido. Eva, te hicieron
un favor y no una maldad, Revisa tu codigo, escribe dentro de tus includes o
crea un nuevo include con la correccion para este problema.

Repito, Estoy completamente seguro que el fallo es de codigo y no de
servidor.
Repito, El ATACANTE es conocido por explotar en todos los sitios que
encuentre este fallo que es netamente de programacion, que, tambien es el
primer error conocido por cualquier programador avanzado en PHP.

No te asustes Eva que con una libreria muy sensilla reparas tu fallo en un
instante.

Saludos...



El 15 de diciembre de 2010 17:03, Jorge Noricumbo
<el_chispote...@yahoo.com>escribió:

> jeje, te dijeron que era error de código pero no de cuál, ja..
>
> no sería mala idea considerar el cambio de serv ;)
> cuál usas?, digo, para saber..
>  --
> Jorge Noricumbo
>
>
>
> ----- Original Message ----
> > From: Eva García <evag...@gmail.com>
> > To: "Ovillo, la lista de CSS en castellano" <ovillo@lists.ovillo.org>
> > Sent: Wed, December 15, 2010 9:17:21 AM
> > Subject: Re: [Ovillo] Vulnerabilidad HTML
> >
> > Hola a t...@s de nuevo,
> >
> > En primer lugar vuelvo a daros las gracias a todos  por vuestros
> mensajes.
> >
> > El sexto sentido que tenemos las mujeres (;-)) me  ha hecho pensar que si
> mi
> > página había sido hackeada y fuera un problema del  servidor es posible
> que
> > otras páginas con las que comparto hosting estuvieran  también con el
> mismo
> > problema. Pues bien he mirado cual era mi dirección IP y  he buscado
> páginas
> > que compartan mi alojamiento. Pues bien, muchas de ellas  tienen el mismo
> > problema que yo, hackeadas con el mismo index.html, lo que me  hace
> pensar
> > que se más que un problema en mi página el problema de seguridad  ha
> estado
> > en la empresa de hosting ¿que os parece?
> >
> > Saludos y mil  gracias de nuevo!
> >
> > Eva
> >
> >
> >
> >
> > El 15 de diciembre de 2010  15:44, Gerardo Oscar Jimenez Tornos <
> > gerardoosca...@gmail.com>  escribió:
> >
> > > Hasta que no veamos el código no podemos hacer nada. Vamos  a ciegas.
> Es
> > > como
> > > conducir de noche sin las luces  puestas.
> > >
> > > Por favor, péganos el código y así intentamos ayudarte.  No temas por
> pegar
> > > el código si no tienes claves a la  vista.
> > >
> > > Un saludo
> > >
> > >
> > >  Gerardo
> > >
> > >
> > >
> > >
> > > El 15 de diciembre de 2010  15:31, Jose Florido <joseflor...@gmail.com
> > >  >escribió:
> > >
> > > > Si es un form para enviar email, lo mas comun  es que sea inyeccion
> de
> > > > cabeceras de correo en la funcion mail() de  php.
> > > >
> > > > Basicamente no estas comprobando bien los  parametros que recibes del
> > > > formulario, pero tu HTML no tiene porque  estar mal, simplemente al
> > > > recibir las variables en PHP tienes que  evitar ciertos caracteres
> > > > (minimo \r y \n).
> > > >
> > >  > Problemas de este tipo se suelen utilizar para enviar spam desde tu
> > >  > formulario a terceras partes. Aunque tu formulario no permita
> > > >  especificar la cebecera To:, mediante abuso del Subject: pueden
> hacer
> > >  > que el email vaya a otras direcciones de correo y el servidor
> > > >  encargado del envio de spam seria el tuyo.
> > > >
> > > > Mas  detalles:
> http://www.securephpwiki.com/index.php/Email_Injection
> > >  >
> > > >
> > > > 2010/12/15 Leandro Asrilevich <bea...@gmail.com>:
> > > > > Eva  por lo que contas es mas que probable que el problema es del
> > >  hosting
> > > > y
> > > > > no tuyo.
> > > > >
> > > >  > Recuerdo que una vez probando en un servidor propio instale uno de
>  los
> > > > > paneles mas avabzados que vi de servicio de hosting, y al  mes a
> travez
> > > de
> > > > > una vulnerabilidad del codigo del  panel, por medio de un bot
> realizaron
> > > > lo
> > > > > mismoq  ue te ha pasado a vos, borraron todos los files de cada uno
> de
> > >  los
> > > > > vhosts creados en el servidor mediante el panel, y  pusieron un
> > > index.html
> > > > > con una reseña al grupo de  hackers.
> > > > >
> > > > > Que panel de administracion tiene  tu servicio de hosting?.. yo
> > > apuntaria
> > > > por
> > > >  > ese lado.
> > > > > _____________________________________
> > >  > >
> > > > > Leandro Asrilevich | www.beastxblog.com
> > > > >  FrontEnd Developer
> > > > > Movil: +54 (11) 15 3663 0011
> > > >  >
> > > > > Web: http://www.beastxblog.com
> > > > > MSN: bea...@gmail.com
> > > > > Skype  User: leandro.asrilevich
> > > > >
> > > > > Dorrego 328
> > >  > > Muniz - Partido de San Miguel
> > > > > Buenos Aires -  Argentina
> > > > >
> > > > >
> > > > > 2010/12/15  Camilo Kawerín <camilokawe...@gmail.com>
> > >  > >
> > > > >> Creo que la única manera en que podrían haberlo  hecho, si fuera
> > > gracias
> > > > una
> > > > >>  vulnerabilidad del sitio, es mediante un script PHP que hubieran
> > >  subido
> > > > a
> > > > >> tu
> > > > >> servidor  desde un formulario. Si no hubiera manera de subir
> archivos
> > > al
> > >  > >> servidor desde una página del sitio, se me ocurre entonces que
>  el
> > > ataque
> > > > >> tuvo que haber sido conectándose al FTP.  De todos modos, te
> recomiendo
> > > > que
> > > > >> insistas  con el soporte del hosting para que te den más
> información,
> > > >  tanto
> > > > >> para demostrar que el problema se debe a una  vulnerabilidad del
> sitio
> > > > como
> > > > >> para descartar  que hubiera sido otro tipo de acceso.
> > > > >>
> > > >  >> Saludos y suerte!
> > > > >>
> > > > >>  2010/12/15 Eva García <evag...@gmail.com>
> > > >  >>
> > > > >> > Hola de nuevo,
> > > > >>  >
> > > > >> > Lo que han hecho es borrar todos los archivos  del directorio
> raiz y
> > > > han
> > > > >> > colocado un  archivo index.html con unos simbolos en arabe. Los
> > > curioso
> > > >  es
> > > > >> > que los subdirectorio que utilizo para las  imagenes, includes,
> etc.
> > > no
> > > > >> han
> > > >  >> > sido borrado y están ahí todos los archivos.
> > > > >>  >
> > > > >> > Saludos,
> > > > >> >
> > > >  >> > Eva
> > > > >> >
> > > > >> >
> > >  > >> >
> > > > >> >
> > > > >> >  2010/12/15 Camilo Kawerín <camilokawe...@gmail.com>
> > >  > >> >
> > > > >> > > Hola,
> > > > >>  > >
> > > > >> > > Creo que ya aclaró que la página es  simple y sólo usa PHP
> para
> > > > incluir
> > > > >> >  las
> > > > >> > > partes que se repiten, sin nada raro, y para  enviar mail.
> > > > >> > >
> > > > >> > > La  gente de soporte de los servicios de hosting tienen la
> > > costumbre
> > >  > de
> > > > >> > > llamarle "hackeo" a cualquier cosa y  siempre es por un error
> de
> > > > >> > > programación.
> > >  > >> > >
> > > > >> > > La pregunta, Eva, es  ¿exactamente qué le ocurrió a la página?
> > > > >> > >
> > >  > >> > > Saludos
> > > > >> > >
> > > >  >> > > 2010/12/15 Jimmy Collazos || acido || cuatroxl.com <
> > > > acid...@gmail.com>
> > > > >>  > >
> > > > >> > > > Como bien dicen, casi todos: Sin  saber que estás haciendo
> es
> > > > >> complicado
> > > >  >> > > > decirte que has echo mal.
> > > > >> >  > >
> > > > >> > > > ¿tienes base de datos?
> > >  > >> > > > ¿que haces con los parámetros del formulario que  envías?
> > > > >> > > > ¿usas algún CMS, librería o  parecido?
> > > > >> > > >
> > > > >> > >  >
> > > > >> > > > --
> > > > >> > >  >
> > > > >> > > >
> > > > >> >  >
> > > > >> >
> > > > >>
> > > >
> > >
>
> ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
> > >  > >> > > > :::::::::::::::: J i m m y  C o l l a z o  s
> > > :::::::::::::::::::::
> > > > >> > > >
> > >  > >> > > >
> > > > >> > >
> > > >  >> >
> > > > >>
> > > >
> > >
>
> ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
> > >  > >> > > > desarrollado web; estándar, accesible,  escalable
> > > > >> > > >
> > > > >> > >  >
> > > > >> > >
> > > > >> >
> > > >  >>
> > > >
> > >
>
> ----------------------------------------------------------------------------
> > >  > >> > > >
> > > > >>  acido69
> > > >  >> > > > _______________________________________________
> > >  > >> > > > Lista de distribución Ovillo
> > > > >>  > > > Para escribir a la lista, envia un correo a
> > > > Ovillo@lists.ovillo.org
> > > >  >> > > > Puedes modificar tus datos o desuscribirte en la  siguiente
> > > > dirección:
> > > > >> > > >  http://lists.ovillo.org/mailman/listinfo/ovillo
> > > > >> > >  >
> > > > >> > >
> > > > >> > >
> > >  > >> > >
> > > > >> > > --
> > > > >>  > > Camilo Kawerín
> > > > >> > > kawerin.com.ar
> > > > >> > >  _______________________________________________
> > > > >> > >  Lista de distribución Ovillo
> > > > >> > > Para escribir a la  lista, envia un correo a
> > > Ovillo@lists.ovillo.org
> > > >  >> > > Puedes modificar tus datos o desuscribirte en la  siguiente
> > > > dirección:
> > > > >> > > http://lists.ovillo.org/mailman/listinfo/ovillo
> > > > >> >  >
> > > > >> >  _______________________________________________
> > > > >> > Lista  de distribución Ovillo
> > > > >> > Para escribir a la lista,  envia un correo a
> Ovillo@lists.ovillo.org
> > > >  >> > Puedes modificar tus datos o desuscribirte en la siguiente
> > >  dirección:
> > > > >> > http://lists.ovillo.org/mailman/listinfo/ovillo
> > > > >>  >
> > > > >>
> > > > >>
> > > > >>
> > >  > >> --
> > > > >> Camilo Kawerín
> > > > >>  kawerin.com.ar
> > > > >>  _______________________________________________
> > > > >> Lista de  distribución Ovillo
> > > > >> Para escribir a la lista, envia un  correo a
> Ovillo@lists.ovillo.org
> > > >  >> Puedes modificar tus datos o desuscribirte en la siguiente
>  dirección:
> > > > >> http://lists.ovillo.org/mailman/listinfo/ovillo
> > > >  >>
> > > > >  _______________________________________________
> > > > > Lista de  distribución Ovillo
> > > > > Para escribir a la lista, envia un correo  a
> Ovillo@lists.ovillo.org
> > > >  > Puedes modificar tus datos o desuscribirte en la siguiente
>  dirección:
> > > > http://lists.ovillo.org/mailman/listinfo/ovillo
> > > > >
> > >  > _______________________________________________
> > > > Lista de  distribución Ovillo
> > > > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> > > >  Puedes modificar tus datos o desuscribirte en la siguiente
> dirección:
> > >  > http://lists.ovillo.org/mailman/listinfo/ovillo
> > > >
> > >  _______________________________________________
> > > Lista de distribución  Ovillo
> > > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> > > Puedes  modificar tus datos o desuscribirte en la siguiente dirección:
> > > http://lists.ovillo.org/mailman/listinfo/ovillo
> > >
> > _______________________________________________
> > Lista  de distribución Ovillo
> > Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> > Puedes  modificar tus datos o desuscribirte en la siguiente dirección:
> >http://lists.ovillo.org/mailman/listinfo/ovillo
> >
>
>
>
> _______________________________________________
> Lista de distribución Ovillo
> Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
> Puedes modificar tus datos o desuscribirte en la siguiente dirección:
> http://lists.ovillo.org/mailman/listinfo/ovillo
>



-- 
Pablo Muñoz
Linux User 480519
_______________________________________________
Lista de distribución Ovillo
Para escribir a la lista, envia un correo a Ovillo@lists.ovillo.org
Puedes modificar tus datos o desuscribirte en la siguiente dirección: 
http://lists.ovillo.org/mailman/listinfo/ovillo