Перейти к публикации

Как убить анонимность всех пользователей форума одной картинкой


Рекомендованные сообщения

//// UPD: Исправили, но даже не отписали ничего. 😑

 

Эта уязвимость довольно старая и очевидная, но тем не менее, раз уж проснулся товарищ xtrafrancyz, то почему бы и не напомнить о ней:

1) Регаемся на https://iplogger.org/. Можно использовать любой другой сервис или написать его самому, но для примера возьму самый популярный

2) Создаём Tracking Pixel (логгер, замаскированный под однопиксельную картинку): https://iplogger.org/tracking-pixel/

3) Полученную ссылку вида https://iplogger.org/%сгенерированнаяхрень% вставляем в любое место на форуме с формой отправки сообщения (темы / личные сообщения / статусы / комментарии к статусам / подпись / etc). Если ссылка не преобразовалась в невидимое изображение (грубо говоря, просто исчезла), то добавляем его вручную по кнопке "Изображение по ссылке" в правом нижнем углу 1R2rZ4

4) Отправляем сообщение / комментарий / статус / сохраняем настройку

Готово. Визуально ничего не изменилось, зато теперь всякий раз при посещении страницы, где вы разместили логгер, каждый пользователь (даже не авторизованный), будет автоматически подгружать нашу волшебную картинку, оставляя "на память" такой набор данных о себе:

wQoNFmn.png
(дата и время посещения, айпи адрес и провайдер, страна и город, операционная система и браузер, адрес ссылающейся страницы, User-Agent)

Естественно, в самом логе нет информации о форумном нике пользователя, однако можно придумать массу способов связать лог с конкретной целью, просто внедрив логгер в личное сообщение (можно создавать отдельные трекингпиксели) или на определённую малопосещаемую страницу форума, на которую в последствие зайдёт цель под любым предлогом.

--
Исправлять это или оставлять как есть - решать администрации форума. Пользу от уязвимости могут извлечь разве что мамкины доксеры, но на мой взгляд, серьёзность проблемы это не отменяет.

Изменено пользователем _Mytno_Rose
Ссылка на комментарий
7 минут назад, cyclos12 сказал:

Хорошая тема, думаю проблему можно исправить через блокировку доменов грабифая и логгера

это не решит проблему)
форуму нужно пропускать все изображения через себя, а не пользователя

Ссылка на комментарий
11 часов назад, _Mytno_Rose сказал:

Эта уязвимость довольно старая и очевидная, но тем не менее, раз уж проснулся товарищ xtrafrancyz, то почему бы и не напомнить о ней:

1) Регаемся на https://iplogger.org/. Можно использовать любой другой сервис или написать его самому, но для примера возьму самый популярный

2) Создаём Tracking Pixel (логгер, замаскированный под однопиксельную картинку): https://iplogger.org/tracking-pixel/

3) Полученную ссылку вида https://iplogger.org/%сгенерированнаяхрень% вставляем в любое место на форуме с формой отправки сообщения (темы / личные сообщения / статусы / комментарии к статусам / подпись / etc). Если ссылка не преобразовалась в невидимое изображение (грубо говоря, просто исчезла), то добавляем его вручную по кнопке "Изображение по ссылке" в правом нижнем углу 1R2rZ4

4) Отправляем сообщение / комментарий / статус / сохраняем настройку

Готово. Визуально ничего не изменилось, зато теперь всякий раз при посещении страницы, где вы разместили логгер, каждый пользователь (даже не авторизованный), будет автоматически подгружать нашу волшебную картинку, оставляя "на память" такой набор данных о себе:

wQoNFmn.png
(дата и время посещения, айпи адрес и провайдер, страна и город, операционная система и браузер, адрес ссылающейся страницы, User-Agent)

Естественно, в самом логе нет информации о форумном нике пользователя, однако можно придумать массу способов связать лог с конкретной целью, просто внедрив логгер в личное сообщение (можно создавать отдельные трекингпиксели) или на определённую малопосещаемую страницу форума, на которую в последствие зайдёт цель под любым предлогом.

--
Исправлять это или оставлять как есть - решать администрации форума. Пользу от уязвимости могут извлечь разве что мамкины доксеры, но на мой взгляд, серьёзность проблемы это не отменяет.

.

Ссылка на комментарий

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Сейчас на странице   0 пользователей

    • Нет пользователей, просматривающих эту страницу.
×
×
  • Создать...