Spoofs ©spotting

Dieses Thema im Forum "Security Tutorials" wurde erstellt von spotting, 16. Mai 2005 .

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 16. Mai 2005
    SPOOFS, die einfachste Möglichkeit für seiten Movies zur Verfügung stellen, aber
    was ist das und wie benutze ich die,

    Das sind Fragen die ich hier erklären möchte

    Disclaimer

    Dieses Tutorial ist von mir spotting persönlich OHNE irgendeine Vorlage geschrieben worden. Sollte trotzdem jemand mir Diebstahl geistigen Eigentums vorwerfen würde ich mich gerne zum Erfahrungsaustausch und zur Klärung dieses Vorwurfes mit ihm/ihr unterhalten. Meldet euch einfach.
    Außerdem distanziere ich mich von der hier beschriebenen Möglichkeit ILLEGAL Zugang zu dem Mitgliederbereich diverser Internet-seiten zu erreichen. Ebenfalls distanziere und verabscheue ich mich von der Nutzung diverser hier kurz angesprochener Programme.
    Dieses Tutorial soll lediglich dem Informationsaustausch dienen und Webmastern die Möglichkeit geben Schwachstellen in ihrem System zu entdecken und auszumerzen.

    Sollten Sie nicht mit diesem Disclaimer einverstanden sein, so lesen Sie nicht an dieser Stelle weiter, sondern verlassen SOFORT diese Internetseite.

    1. Was ist ein Spoof

    ein spoof ist eine Hintertür für den Mitgliederbereich einer Bezahlseite.
    man umgeht durch einen spoof die Passwortabfrage und wird von der Seite automatisch als User erkannt.

    2. Hintergrund

    erste Mitgliederbereiche im Internet waren nur durch Eingabe eines gültigen Nutzernamens und eines Passwortes erreichbar. Dies ist heutzutage meistens immer noch so. Etwas hat sich aber seit den ersten Tagen im Internet geändert. Früher schützte man den Mitgliederbereich nur dadurch, dass man den Link zum Mitgliederbereich nicht öffentlich gemacht hat, also der Link erst nach erfolgreicher Passwortabfrage sichtbar wurde.

    erste spoofs waren also nur eben diese Links zu den Mitgliederbereichen. denn wenn man den Link kannte reichte er aus, um die Passwortabfrage zu umgehen.

    Als dies von den Machern der Seiten erkannt wurde, hat man zusätzlich zur Passwortabfrage noch einen "Referer-scan*" eingeführt. Er prüft beim besuchen eines Linkes ob der User auch tatsächlich von einer Seite kommt, wo er vorher die Passwortabfrage hat durchlaufen müssen. Dies ist möglich, weil jeder Browser standardmäßig immer(!!!) den Referer (also die zuvor besuchte Seite) an die nächste Seite mitgibt. so ist es möglich neben der ip eines User auch seine zuvor besuchte Seite zu erkennen.

    Ein Beispiel hierzu ich suche bei google nach "Viewz.6x".to finde dann auf dieser Seite den Link nach Viewz "http://www.google.de/search?hl=de&q=viewz.6x.to&btnG=Suche&meta="
    benutze ich dann den Link erkennt der Server von Viewz eben diesen Link als Referer.

    Diese Abfrage lässt sich aber ebenfalls umgehen, indem ich dem eigenen webbrwoser vorgaukle ich wäre momentan auf einer anderen Seite als ich tatsächlich bin und versuche dann auf einen link des internen Mitgliederbereiches zu gelangen.

    "Der Versuch der Webmaster dieses spoofen zu verhindern liegt darin, dass man dem User sehr lange kryptische Adressen anzeigt. diese verweisen dann zwar auf die eigentliche Seite, der User ist allerdings nicht mehr in der Lage auf herkömmliche art und weise den tatsächlichen link herauszubekommen.
    diese kryptischen Adressen und links werden in unregelmäßigen abständen durch ein Script automatisch geändert, was ein speichern dieser Seiten unbrauchbar macht.
    jedoch gibt es immer noch die festen tatsächlichen Linkadressen, die durch erfahrene User geknackt werden können." (*keine Gewähr auf Richtigkeit dieses Abschnittes)

    Der 'neueste' Trend ist neben der Abfrage des Referer auch ein Erstellen eines cookies (eine Textdatei die im Zwischenspeicher des Browser gespeichert wird) in der die Zugangsdaten (Passwort und Nutzernamen) abgefragt werden können. Ist dies gemacht worden ist ein spoofen auf die Linkseiten nicht mehr möglich, da trotz vorgegaukeltem Referer die Cookieabfrage nicht erfolgreich bestanden werden kann.
    Dies kann ohne Passwort und Nutzernamen bislang nicht umgangen werden.
    Leider.

    3. Wie funktionieren Spoofs

    Ein spoof setzt sich in der Regel aus zwei Internet Adressen zusammen. die erste, auch Referer (im folgenden REF) genannt, gibt eine Adresse an, von der man berechtigt ist die zweite Adresse voll zu benutzen.
    Die zweite Adresse gibt die Seite an, die man besuchen möchte. man nennte Sie Target (TAR) also ZIEL.
    Beide Adressen sind notwendig um spoofs zu nutzen und werden mithilfe von Browserplugins oder zusätzlichen Tools nutzbar gemacht. (später mehr)
    Diese Plugins gaukeln dem Browser vor, das er sich momentan auf der Referier-Seite befindet und die Target Adresse erreichen möchte.
    Seit neuestem gibt es auch Active X- Scripte, die es einem ermöglichen mithilfe des Internet Explorers das vorgaukeln der falschen REF Adresse zu erleichtern. es werden also keine weiteren Programme oder Plugins benötigt.

    4. Wie benutze ich Spoofs

    Für den normalen Anwender gibt es mehrere Möglichkeiten einen Spoof zu nutzen. dies hängt zum einen von den verfügbaren Möglichkeiten ab, die man hat, zum anderen vom bevorzugten Internet Browser.

    Hier zwei Programme mitsamt Adressen, wo ihr die Programme finden könnt.
    beide arbeiten mit dem Internet Explorer zusammen und erlauben euch das eingeben eines REF-Links und eines TAR-Links
    1. HyperSpoof (http://www.geocities.com/arcardia2000/)
    2. zSpoof (http://wolfman.deny.de/zspoof.zip)

    wenn ihr lieber mit dem Firefox Browser im Internet surft kann ich euch das Plugin REF-SPOOF empfehlen. es gibt euch eine weitere Adressleiste direkt im Firefox-Browser indem ihr den REF-Link eingeben könnt. den TAR-Link gebt ihr in die normale Titelleiste. (mozdev.org - refspoof: index)

    Die dritte Möglichkeit Spoofs zu benutzen sind die Active X Scripte. Sie werden in letzter zeit immer häufiger von Seiten benutzt. Sie funktionieren über ein ActiveX Script, mit dessen Hilfe dem Internet Explorer ein falscher REF vorgetäuscht wird.
    Sie funktionieren NICHT unter einem anderen Browser NUR INTERNET EXPLORER (IE)
    Bedingung ist ebenfalls, dass die ActiveX Komponenten des IE geladen sind und nicht durch Webfilter oder Firewalls blockiert werden.
    Die Einstellungen findet man unter
    Extras / Internetoptionen / Sicherheit / Stufe anpassen
    dort muss man alle fragen ob ActiveX aktiviert werden soll mit ja (bzw. aktivieren) beantworten.
    ABER VORSICHT
    MANCHE SPOOF - SCRIPTE BEINHALTEN EINEN TROJANER;
    Dieser wird zwar von Antivirenprogrammen (bei richtigen Einstellungen) erkannt, ABER es bleibt ein Trojaner.
    UND der Trojaner ist nicht notwendig, um den REF zu ändern.

    Ok, das dürfte es gewesen sein.


    5. Zusätzliches und Nützliches

    Einen letzten Tipp möchte ich euch noch mit auf den weg geben.
    Das Programm QUICKSPOOF, ist eine art Kommunikationsprogramm ähnlich eines p2p Netzwerkes, bei dem spoof-links veröffentlicht und durch den IE genutzt werden können. Ihr findet es bei google. Absoluter TIP


    EDIT 1.
    Ich wurde gefragt was TAR=REF bedeutet.

    Dies bedeutet, dass der Link für Target also die Zieladresse und die Referer Adresse, also die zuvor besuchte Webseite identisch sind.
    einfach in deinem bevorzugtem Tool die eine Adresse/Link in beide Felder eintragen und es dürfte funktionieren.

    6. Eigentumsvorbehalt.

    Es steht jedem Nutzer frei dieses Tutorial frei und öffentlich zur Verfügung zu stellen, jedoch nur unter der Bedingung dass er ihn vollständig und unverändert nutzt. weder der Eigentumsvorbehalt am Ende noch der Disclaimer zu Beginn dürfen fehlen.
     
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.