Bienvenido(a), Visitante. Favor de ingresar o registrarse.
¿Perdiste tu email de activación?

Ingresar con nombre de usuario, contraseña y duración de la sesión

 
Búsqueda Avanzada

1452 Mensajes en 422 Temas- por 1070 Usuarios - Último usuario: Trancero

11 de Marzo de 2010, 09:53:54 am
Foro de CodigosWeb.netManuales y/o TutorialesTutorialesBloqueando un ataque Iframe
Páginas: [1]   Ir Abajo
« anterior próximo »
  Imprimir  
Autor Tema: Bloqueando un ataque Iframe  (Leído 1352 veces)
0 Usuarios y 1 Visitante están viendo este tema.
Ing_Amc
WebDeveloper
Administrador
*
Desconectado Desconectado

Mensajes: 323


Registered Linux User: 435054


WWW
« en: 15 de Octubre de 2006, 11:23:24 am »
Escrito por el-brujo


 ¿Qué es un ataque iframe?

Un ataque iframe se puede usar para amplificar un DDoS a cualquier página web.

Tan sólo tienes que buscar un script php que consuma bastantes recursos y hacer varios iframes muy pequeños (no visible, de 1x1) para que la persona (o botnets) que visiten la web del atacante cargen la URL, la que está dentro del iframe, tantas veces como iframes añadas (DoS).

Un iframe de 1x1 no es visible pero cargado muchas veces puede causar una denegación de servicios.

Código:
<IFRAME SRC="http://www.dominio.com/" WIDTH="1" HEIGHT="1"> </IFRAME>
<IFRAME SRC="http://www.dominio.com/" WIDTH="1" HEIGHT="1"> </IFRAME>


Si atacan tu Apache con un ataque iframe debes mirar los logs del apache para detectar el Referer

Citar
[..]
83.155.147.165 - - [17/Apr/2006:16:57:25 +0200] "GET / HTTP/1.1" 200 539 "http://piupiu23.100free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
24.141.160.234 - - [17/Apr/2006:16:57:25 +0200] "GET / HTTP/1.1" 200 539 "http://piupiu23.100free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
201.244.210.100 - - [17/Apr/2006:16:57:25 +0200] "GET / HTTP/1.1" 200 539 "http://piupiu23.100free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)"
81.31.8.118 - - [17/Apr/2006:16:57:25 +0200] "GET / HTTP/1.1" 200 539 "http://piupiu23.100free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
68.60.213.133 - - [17/Apr/2006:16:57:25 +0200] "GET / HTTP/1.1" 200 539 "http://piupiu23.100free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
81.193.26.49 - - [17/Apr/2006:16:57:25 +0200] "GET / HTTP/1.1" 200 539 "http://piupiu23.100free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
68.191.253.217 - - [17/Apr/2006:16:57:25 +0200] "GET / HTTP/1.1" 200 539 "http://piupiu23.100free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
82.79.10.44 - - [17/Apr/2006:16:57:25 +0200] "GET / HTTP/1.1" 200 539 "http://piupiu23.100free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mailinfo [313789]; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
[..]

Tenemos muchas ips, muchos navegadores y un sólo denominador común, el HTTP Referer.

Miramos el código fuente del "Referer"

http://piupiu23.100free.com/

Y sorpresa:

Código:
<iframe src=http://foro.elhacker.net/ width="1" height="1" align="center" scrolling="No" id="Resultado2" style="border: 2px dashed #78808C"> </iframe></body>

Vamos a bloquearlo.

Usaremos una regla muy sencilla del mod_rewrite del apache, para cuando el referer sea el atacante le muestre un "Forbidden".

Código:


Código:
#ataque iframe
<Directory "/www/var/public_html/">
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://()?piupiu23.*$ [OR]
# and so on
RewriteCond %{HTTP_REFERER} ^http://piupiu23.100free.com/
RewriteRule .* - [F,L]
</Directory>

Comprobamos si funciona:

Citar
[root@lan root]# curl -e "http://piupiu23.100free.com/" http://foro.elhacker.net
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>403 Forbidden</TITLE>
</HEAD><BODY>
<H1>Forbidden</H1>
You don't have permission to access /
on this server.<P>
</BODY></HTML>

Si te atacan con un programa para hacer DDoS (entre varios) debes mirar el "User-Agent":

Código:
"User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; FunWebProducts; HbTools 4.6.2)"

Aplicas una nueva regla con el mod_rewrite pero mirando el User-Agent "FunWebProducts".

Ahora vamos a ver como bloquear el HTTP Refererr usando el mod_security (un módulo del Apache para aumentar la seguridad del Apache y de los scripts php).

Código:
SecFilterSelective HTTP_Referer|ARGS
"webdelataque\.com""deny,nolog,status:403"

Simplemente le decimos que si el Referer es la web del atacante que no lo guarde en el log (si el ataque es muy grande se formaría un log enorme) y le devuelva un código HTTP 403 (Prohibido).

También puedes devolverle el ataque redireccionado sus peticiones hacia el mismo:

Código:
SecFilterSelective HTTP_Referer|ARGS
"webdelataque\.com""deny,nolog,redirect:http://www.webdelataque.com"

O bien sacar un molesto Alert en Javascript para que se vea obligado a quitar el iframe:

Código:
SecFilterSelective HTTP_Referer|ARGS
"webdelataque\.com""deny,nolog,redirect:http://www.tuweb.com/bucle.html"

Y en bucle.html poner:

Código:
<html><head><body></script>while(1) { alert("bad boy!"); }</script></body></html>

Más adelante algo sobre contramedidas ante un ataque DDoS.

http://foro.elhacker.net/index.php/topic,127481.0.html

Saludos
En línea


Tutorial PHP: http://tutorialphp.net <-- Entra y aprende PHP.
Tutorial PHP Oficial: http://php.tutorialphp.net
Mi Blog: http://ingamc.net
Foro de CodigosWeb.net
« en: 15 de Octubre de 2006, 11:23:24 am »
 En línea
Páginas: [1]   Ir Arriba
  Imprimir  
« anterior próximo »
 
Ir a:  

Theme orange-lt created by panic