הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   FXP ו-FTP Bounce Attack (https://hosts.co.il/forums/showthread.php?t=100959)

zoharesh 10-11-12 01:57
FXP ו-FTP Bounce Attack
 
אהלן,
אני לא בטוח שהשאלה מתאימה לפורום תיכנות אבל לא מצאתי מקום טוב יותר.

אני ממיר מערכת שמעבירה קבצים בין שרתים בפרוטוקול FTP לשימוש בFXP.
קראתי קצת ברשת והבנתי שבפרוטוקול FXP יש בעית אבטחה בשם FTP Bounce Attack.
מה שלא הצלחתי להבין בוודאות זה האם ניתן לנצל את הבעיה הזו גם אם לא התחברת לשרת FTP (משמע אם לא נשלחה לשרת הפקודות USER, PASS)?

או במילים אחרות, נניח שעכשיו יש לי שרת FTP שאיפשרתי בו שימוש בFXP.
האם כל אחד יכול לשלוח את הפקודה STOR ולנצל את הבאג? או רק משתמש בעל גישה לשרת הFTP?

אגב למי שלא מכיר, http://en.wikipedia.org/wiki/FTP_bounce_attack

ההיגיון אומר שלא, אבל רק בשביל להיות בראש שקט...

תודה :)

OrPol 10-11-12 10:59
ציטוט נבחר

ציטוט:

"FTP Bounce" Attacks and AllowForeignAddress
So, what does this mean for ProFTPD? By default, ProFTPD does not allow site-to-site transfers, for by allowing them, the server also allows a type of attack known as the "FTP bounce" attack:

http://www.cert.org/advisories/CA-1997-27.html
The protection against this attack is to enforce the requirement that, from the server's point of view, the remote address of a control connection matches the remote address of a data connection.

 If the addresses do not match, the data connection is treated as from a foreign client, and thus rejected.
However, some site administrators do want to allow their servers to support site-to-site transfers. ProFTPD must be explicitly configured to allow these by using the AllowForeignAddress configuration directive.
מתוך http://proftpd.open-source-solution....howto/FXP.html

ועוד SECURITY ADVICE:
http://www.cert.org/advisories/CA-1997-27.html

zoharesh 10-11-12 11:39
קראתי, אבל זה לא עונה לי על השאלה האם בשביל לנצל את הבאג הזה צריך להיות מחובר (ולהזדהות - שם משתמש וסיסמה) מול שרת ה-FTP או שאין צורך?


כל הזמנים הם GMT +2. הזמן כעת הוא 11:20.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ