Użytkownik "Przemysław Maciuszko" <s...@i...pl> napisał w wiadomości
news:0t3cb533d8i4d4en3e8%sal@virgin.gazeta.pl...
> Westbam <w...@n...art.pl> wrote:
> > powinien ladowac w X-Forwarded-For ale tez adres IP maszyny, z ktorej
> > przychodzi ten naglowek powinien pojawiac sie w N-P-H. Jak wiadomo
oszukanie
>
> Znaczy np. adres w3cache'a?
> Co to zmieni?
>
> --
> Przemyslaw Maciuszko

Moim zdaniem zmieni bo jak juz napisalem jedynym znanym mi sposobem na
podrobienie adresu w X-Forwarded-For jest 'majstrowanie' na lokalnych
interfejsach maszyny z w3cache. Sytuacje gdy adres w X-Forwarded-For bedzie
z klas prywatnych 192.168.x.x 172.16.x.x czy tez 10.x.x.x to nie ma
informacji z jakiego adresu zewnetrznego wychodzi ta klasa. Mozna tez na
takim w3cache utworzyc interfejs z adresem IP nalezacym do zupelnie kogos
innego a hostom podpietym do tego interfejsu nadac realne adresy IP. Wtedy
takze adres IP maszyny w3cache pomoglby we wskazaniu winowajcy lub sieci, z
ktorej pochodzi. A jak wyniklo mi z dotychczasowych testow nie jest mozliwe
wyslanie newsa z oszukanego adresu IP przez wiecej niz jeden w3cache.
Przynajmniej w Gazeta.pl. Jezeli komus sie udalo to prosze o info.
Podsumowujac: ten, kto ma mozliwosc oszukania wpisu w X-Forwarded-For ma tez
dostep do tego w3cache, z ktorego jest polaczenie. To by bylo takie
dodatkowe X-Complaints-To.

--
pozdr.
westbam(at)net(dot)art(dot)pl

do góry

Westbam <w...@n...art.pl> wrote:
> Oczywiscie, ze sie udalo bo niby dlaczego mialoby sie nie udac. Moim
> zdaniem jezeli ktos laczy sie poprzez HTTP, to owszem jego adres
> powinien ladowac w X-Forwarded-For ale tez adres IP maszyny, z ktorej
> przychodzi ten naglowek powinien pojawiac sie w N-P-H. Jak wiadomo
> oszukanie takiego naglowka X-Forwarded-For jest mozliwe glownie osobom
> majacym dostep administracyjny do serwerow w3cache, z ktorych
> przychodza. Jak narazie ani serwis news Onetu ani Gazety tak nie
> robi.

Ja tamtego posta wyslalem za pomoca telnetu. Dowolny naglowek mozesz
sobie ustawic w ten sposob i nie potrzebujesz dostepu
'administracyjnego' czy jakiegokolwiek innego do serwerow w3cache.
To chyba oczywiste?

>
> westbam(at)net(dot)art(dot)pl
>


Pozdrawiam,
Madej
--
J...@a...pl | Aster City Cable Sp. z o.o. | Network Administrator
"God, root, what's the difference?" -- "God is more forgiving"

do góry

Przemys?aw Maciuszko <s...@i...pl> wrote:
> Znaczy np. adres w3cache'a?
> Co to zmieni?

Jesli zrobisz mniej wiecej cos takiego:

NNTP-Posting-Host: $hdr{X-Forwarded-For} $hdr{REMOTE_ADDR}

To dosyc ciezkie bedzie sie ukryc.

>
> Przemyslaw Maciuszko
>

Pozdrawiam,
Madej
--
J...@a...pl | Aster City Cable Sp. z o.o. | Network Administrator
"God, root, what's the difference?" -- "God is more forgiving"

do góry

Jakub K. Boguslaw <m...@a...pl> wrote:
> Jesli zrobisz mniej wiecej cos takiego:
> NNTP-Posting-Host: $hdr{X-Forwarded-For} $hdr{REMOTE_ADDR}

No tak. Ale to się kłóci z RFC. Myślałem już o czymś takim, ale tak jak
pisałem wyżej w przypadku połączenia np. przez w3cache'a mało to daje.
Szczególnie, gdy jest to jakiś lokalny prywatny w3cache...

> To dosyc ciezkie bedzie sie ukryc.

E tam. Ciężko będzie w tym sensie, że wykrycie będzie też zależało od
administratora w3cache [1]

[1] To oczywiście dla tych, co chcieliby samemu grzebać w nagłówkach,
zamiast zgłosić na usenet@


--
Przemyslaw Maciuszko

do góry

Przemys?aw Maciuszko <s...@i...pl> wrote:
> No tak. Ale to si? k??ci z RFC. My?la?em ju? o czym? takim, ale tak jak
> pisa?em wy?ej w przypadku po??czenia np. przez w3cache'a ma?o to daje.

no to posty przychodzace z webnewsa traktuj jako feed i dodaj
odpowiednie wpisy w 'path' (lub stworz jakis mix
NNTP-Posting-Host i patha).
Mozesz tez dodac sobie jakis-tam naglowek zawierajacy informacje
o w3cache via ktory ruch przeszedl.

> Szczeg?lnie, gdy jest to jaki? lokalny prywatny w3cache...

Mnie sie wydaje rozsadne umieszczanie w naglowku takiego postu mozliwie
wiele informacji o obslugiwanym przez Twoj serwer anonimowym polaczeniu.

> E tam. Ci??ko b?dzie w tym sensie, ?e wykrycie b?dzie te? zale?a?o od
> administratora w3cache [1]

teraz nie jest lepiej: musze wyciagnac od Was adres goscia, a potem i
tak udac sie do administratorow danej sieci.
Gdybys jednak umiescil informacje z x-forwarded-for i remote_addr to
moglbym dzialac sam, nie zabierajac Twoim ludzia czasu.

>
> Przemyslaw Maciuszko
>

Pozdrawiam,
Madej
--
J...@a...pl

do góry

On Thu, 11 Apr 2002, Przemysław Maciuszko wrote:

> No tak. Ale to się kłóci z RFC. Myślałem już o czymś takim, ale tak jak
> pisałem wyżej w przypadku połączenia np. przez w3cache'a mało to daje.
> Szczególnie, gdy jest to jakiś lokalny prywatny w3cache...

Tak jak pisalem wczesniej. NNTP-Posting-Host - adres, z ktorego czlowiek
polaczyl sie do interfejsu WWW. X-Forwarded-For - kopia z requestu HTTP,
ktory przyszedl z sieci. W ten sposob, jesli NNTP-Posting-Host to znane
proxy, wiemy, ze proxy zoverridowalo X-Forwarded-For: i ze jest tam IP
zlosliwca. Jesli zas NNTP-Posting-Host nie wyglada na publiczne proxy, to
bierzemy ten adres i zaczynamy dyspute z administratorem tegoz komputera.

--
____________________________________________________
_
Michal Zalewski [l...@b...bindview.com] [security]
[http://lcamtuf.coredump.cx] <=-=> bash$ :(){ :|:&};:
=-=> Did you know that clones never use mirrors? <=-=
http://lcamtuf.coredump.cx/photo/

do góry