¿Image Basic Authentication?

A menudo, y de hecho es habitual, ver en sistemas de foros distintos usuarios con firmas y avatares. La mayoría de estos sistemas usan código html ( <img src=””></img>) para cargar las imágenes y mostrarlas.

Así que, el otro día tratando de ver la seguridad de uploaders me acordé de que algunos, simplemente validan el valor de Content-type. Así que, cambiándolo, estaríamos pareciendo una imagen y necesitaríamos serlo únicamente?
Por alguna razón, no filtran (dentro de las etiquetas de imágenes) la carga desde php, asp, etc.

Bién es sabido que, podemos modificar la cabecera de un archivo php para que pase por una imagen y así poder llegar a ejecutar el código php (y si se desea cargar la imagen con echo) en el momento en que alguien accede a la carga de esa imagen.

Esto nos da la oportunidad de ejecutar código PHP. ¿Os acordáis de la Http Basic Authentication? Hablo de Basic y no diggest (porque para nada nos sirven los datos que queremos cifrados).
En el momento en qué alguien solicite la carga de nuestra imagen ,y no acceda directamente, se mostrará una basic authentication que informará de que el foro ha perdido la sesión y solicita reintroducir los datos de nuevo.
El script funciona de forma muy básica, de hecho podeis leer el código sin muchos problemas. La mayoría de usuarios lo tomarán como un ataque de phishing, yo sin embargo aún no sé como calificarlo.
Aunque se trate solamente de phishing, son muchos los usuarios que en sistemas de foros como phpBB, vBulletin, MyBB, etc caerían en la trampa (por así decirlo). Quizás hasta nos encontramos con un administrador de estos despistados :O

¡Un saludo y muchas gracias por leernos! 🙂

Fuente: www.seginformatica.net
Matías Moreno Cárdenas

Publicado por: Matías Moreno Cárdenas

Analista de Seguridad IT y hacking ético / Desarrollador de Software Multiplataforma. Actualmente analista de seguridad informática y hacking ético en Grupo SIA

  1. Avatar

    exacly what i was loking for some days ago…
    thanks!

    Responder

Deja un comentario