elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Eludir la prohibición de envío de ejecutables a través de Facebook		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Eludir la prohibición de envío de ejecutables a través de Facebook  (Leído 1,224 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.663



Ver Perfil WWW
Eludir la prohibición de envío de ejecutables a través de Facebook
« en: 31 Octubre 2011, 17:52 pm »
El investigador de seguridad Nathan Power ha descubierto un fallo en la subida de ficheros de Facebook que podría permitir el envío de cualquier tipo de fichero a través de los mensajes de la red social.

Facebook, a través de su servicio de mensajes entre sus usuarios, permite el envío de archivos adjuntos. Como es lógico, en ningún caso se permite  que se intercambie un archivo ejecutable, por tanto la plataforma realiza ciertas  comprobaciones sobre el fichero enviado para evitar que se trate de un binario.

Según ha confirmado el investigador, todas las comprobaciones sobre el contenido del mensaje se limitan a analizar la extensión del nombre del fichero indicado. Este dato es enviado dentro de la petición POST en la que se manda el archivo, (concretamente en el atributo filename del multipart/form-data). Al tratarse de una variable bajo el  control del cliente, es fácilmente modificable teniendo acceso al tráfico HTTP justo antes de enviar con cualquier programa, o generando una petición personalizada. Tras varios intentos, el Nathan Power finalmente consiguió evadir el filtro de Facebook, y por tanto enviar el ejecutable, simplemente añadiendo un espacio al final del nombre del fichero. De este comportamiento se extraen varias conclusiones:

    El módulo, función o software encargado de tratar el nombre del fichero, no realiza un tratamiento adecuado del nombre del fichero. En este caso en concreto, eliminar los espacios al final del nombre del archivo.

    Para discernir entre un archivo permitido o no, se comprueba la extensión del archivo, y se recurre a una lista negra de extensiones (exe, bat...), en lugar de una lista  blanca.

    No se realiza comprobación alguna del tipo del contenido real del archivo (por ejemplo los dos primeros bytes).

    Se comenten errores básicos y antiguos, que ya han solucionado desde hace tiempo otras aplicaciones que han tenido que lidiar mucho con los adjuntos: los clientes de correo.

Facebook fue avisado el día 30 de septiembre,  pero no respondió hasta pasado casi un mes. En el momento de escribir esta noticia, todavía se podían  enviar ejecutables y, como hemos comprobado, al descargar el archivo  el espacio final del fichero desaparece (quizás ya demasiado tarde).

Javier Rascón
jrascon@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
@ssantosv

FUENTE :http://unaaldia.hispasec.com/2011/10/eludir-la-prohibicion-de-envio-de.html
En línea
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Envio de los componentes de un listbox a traves de un sockert
Programación Visual Basic 		W3XT3R 2 1,381 Último mensaje 2 Diciembre 2005, 20:43 pm
por {_The_Alwar_}
Alemania suprime el envío de invitaciones no solicitadas a través de Facebook
Noticias 		wolfbcn 0 1,573 Último mensaje 24 Enero 2011, 22:06 pm
por wolfbcn
La mayoría de los padres espían a sus hijos a través de Facebook
Noticias 		wolfbcn 0 1,224 Último mensaje 22 Julio 2011, 15:10 pm
por wolfbcn
Duda con el envío encadenado a través de cout en C++ « 1 2 »
Programación C/C++ 		Manu in Motion 13 5,653 Último mensaje 4 Julio 2013, 11:19 am
por eferion
¿Cómo mejorar el envío de whatsapps a través de un enlace?
Mensajería 		fcf123 0 1,419 Último mensaje 6 Octubre 2018, 11:50 am
por fcf123
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines