Bhe solitamente l'open redirect (che hanno qui http://mexico.cnn.com/redirectComplete.php?url=http://www.foobarfoo.bar) cammina di pari passo con l'SQLi per cui mi sa che qualcuno dovrebbe dare una controllata, poi comunque resta da capire come abbiano fatto a prendere l'accesso bitly
On 18/01/2016 16:37, Andrea Draghetti wrote: > Confermo quanto detto da Paolo, aggiungo: > > http://cnn.it/1ZgPTml reindirizza a > http://mexico.cnn.com/redirectComplete.php?url=http://www.[example].com > > Ora non sappiamo come siano riusciti ad aggiungere un shortener sul > dominio cnn.it (gli avranno bucato l'account su bit.ly, immagino) ma > di certo qualche problemino di sicurezza lo hanno. > > Lasciare un URL Redirection sul sottodominio mexico.cnn.com non è di > certo il massimo della sicurezza! > > Andrea > > > Il 18/01/16 15:09, Paolo Dal Checco ha scritto: >> Sembra si tratti di un custom short domain basato su a bit.ly, usato >> per fare shortening di URL lunghe, si capisce dal robots.txt e >> dall'IP nel record DNS A: 69.58.188.49 >> >> cnn.it / robotx.txt >>> # Welcome to Bitly =) >>> # robots welcome; >>> # API documentation can be found at http://dev.bitly.com/ >>> User-Agent: * >>> Disallow: >> cnn.it DNS >>> dig cnn.it >>> >>> ; <<>> DiG 9.8.3-P1 <<>> cnn.it >>> ;; global options: +cmd >>> ;; Got answer: >>> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18318 >>> ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 >>> >>> ;; QUESTION SECTION: >>> ;cnn.it. IN A >>> >>> ;; ANSWER SECTION: >>> cnn.it. 867 IN A 69.58.188.49 >> Qui si vedono le decine di migliaia di short URL impostate: >> >> https://www.google.it/search?q=site%3Acnn.it >> >> Inserendo 69.58.188.49 qui vedete gli altri shortener basati su >> bit.ly come amzn.to, apple.co, etc... che usano lo stesso servizio e >> stesso IP. >> >> http://www.yougetsignal.com/tools/web-sites-on-web-server/ >> >> Resta da capire come hanno abusato del servizio... >> >> Ciao >> Paolo >> -- >> Paolo Dal Checco, Ph.D, Computer Forensics Expert >> Digital Forensics Bureau (Di.Fo.B.) Studio Associato >> Tel +390110438192 Fax +390113975327 Mob +393271818431 >> Strada del Portone 10, 10095 Grugliasco (TORINO) Italy >> >> On 18/01/16 13:55, Piero Cavina wrote: >>> Il giorno 18 gennaio 2016 12:13, Andrea Scian >>> <[email protected]> ha scritto: >>>> Ciao a tutti, >>>> >>>> a un mio collega e' arrivato, via skype, un link su http://cnn.it >>>> formattato in modo strano, tipo il seguente >>>> >>>> http://cnn.it/1ZgPTml#guryfa=ncognome >>>> >>>> dove ncognome e' proprio l'iniziale del nome seguita dal cognome. >>>> >>>> Dopo aver cliccato come il piu' classico dei pirletti, il cervello e' >>>> stato fortunatamente ricollegato e sono stato chiamato in causa io. >>>> >>>> Ho staccato il PC dalla rete e fatto un po' di verifiche "standard" da >>>> non-esperto di sicurezza quale sono (scansione URL con virustotal, >>>> verifica whois ecc) >>>> >>>> A me risulta che il sito sia clean e appartenente veramente alla CNN >>>> che conosciamo. >>>> >>> Direi che c'è un hacking in corso, o a livello di dns oppure dell'host >>> sul quale si appoggia cnn.it: qualsiasi url abbia provato rimanda a >>> edition.cnn.com, che pare il comportamento di default per i vari >>> domini cnn, mentre quella che hai indicato tu (anche senza l'anchor) >>> rimanda a una pagina di spam e forse di drive-by-download (non ho >>> approfondito). >>> L'IP associato attualmente a cnn.it non è proprietà della Turner ma di >>> uno shared hosting quindi propenderei per la prima ipotesi. >>> C'entrerà qualcosa il fatto che il dominio cnn.it fosse scaduto pochi >>> giorni fa? >>> Ai più esperti la sentenza.. >>> >>> >>> >> > -- PGP key <https://leet.trueleet.com/public_keyz/0dev>
