FXP ו-FTP Bounce Attack - הוסטס

zoharesh · 10-11-12, 01:57

אהלן,
אני לא בטוח שהשאלה מתאימה לפורום תיכנות אבל לא מצאתי מקום טוב יותר.

אני ממיר מערכת שמעבירה קבצים בין שרתים בפרוטוקול FTP לשימוש בFXP.
קראתי קצת ברשת והבנתי שבפרוטוקול FXP יש בעית אבטחה בשם FTP Bounce Attack.
מה שלא הצלחתי להבין בוודאות זה האם ניתן לנצל את הבעיה הזו גם אם לא התחברת לשרת FTP (משמע אם לא נשלחה לשרת הפקודות USER, PASS)?

או במילים אחרות, נניח שעכשיו יש לי שרת FTP שאיפשרתי בו שימוש בFXP.
האם כל אחד יכול לשלוח את הפקודה STOR ולנצל את הבאג? או רק משתמש בעל גישה לשרת הFTP?

אגב למי שלא מכיר, http://en.wikipedia.org/wiki/FTP_bounce_attack

ההיגיון אומר שלא, אבל רק בשביל להיות בראש שקט...

תודה

**OrPol** · 10-11-12, 10:59

ציטוט נבחר

ציטוט:

"FTP Bounce" Attacks and AllowForeignAddress
So, what does this mean for ProFTPD? By default, ProFTPD does not allow site-to-site transfers, for by allowing them, the server also allows a type of attack known as the "FTP bounce" attack:

http://www.cert.org/advisories/CA-1997-27.html
The protection against this attack is to enforce the requirement that, from the server's point of view, the remote address of a control connection matches the remote address of a data connection.

If the addresses do not match, the data connection is treated as from a foreign client, and thus rejected.
However, some site administrators do want to allow their servers to support site-to-site transfers. ProFTPD must be explicitly configured to allow these by using the AllowForeignAddress configuration directive.

מתוך http://proftpd.open-source-solution....howto/FXP.html

ועוד SECURITY ADVICE:
http://www.cert.org/advisories/CA-1997-27.html

zoharesh · 10-11-12, 11:39

קראתי, אבל זה לא עונה לי על השאלה האם בשביל לנצל את הבאג הזה צריך להיות מחובר (ולהזדהות - שם משתמש וסיסמה) מול שרת ה-FTP או שאין צורך?

10-11-12, 01:57	# 1
zoharesh חבר מתקדם מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 600	FXP ו-FTP Bounce Attack אהלן, אני לא בטוח שהשאלה מתאימה לפורום תיכנות אבל לא מצאתי מקום טוב יותר. אני ממיר מערכת שמעבירה קבצים בין שרתים בפרוטוקול FTP לשימוש בFXP. קראתי קצת ברשת והבנתי שבפרוטוקול FXP יש בעית אבטחה בשם FTP Bounce Attack. מה שלא הצלחתי להבין בוודאות זה האם ניתן לנצל את הבעיה הזו גם אם לא התחברת לשרת FTP (משמע אם לא נשלחה לשרת הפקודות USER, PASS)? או במילים אחרות, נניח שעכשיו יש לי שרת FTP שאיפשרתי בו שימוש בFXP. האם כל אחד יכול לשלוח את הפקודה STOR ולנצל את הבאג? או רק משתמש בעל גישה לשרת הFTP? אגב למי שלא מכיר, http://en.wikipedia.org/wiki/FTP_bounce_attack ההיגיון אומר שלא, אבל רק בשביל להיות בראש שקט... תודה __________________ HIGHDESIGN.co.il עיצוב ובניית אתרים.

10-11-12, 11:39	# 3
zoharesh חבר מתקדם מיני פרופיל תאריך הצטרפות: Dec 2007 הודעות: 600	קראתי, אבל זה לא עונה לי על השאלה האם בשביל לנצל את הבאג הזה צריך להיות מחובר (ולהזדהות - שם משתמש וסיסמה) מול שרת ה-FTP או שאין צורך? __________________ HIGHDESIGN.co.il עיצוב ובניית אתרים.


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)