Is it a fake website?

17 abril 2007

¿Podemos confiar en servicios como imageshack.us?

¿Todavía pensando en hacer hotllink?

Hotlink:
Para aquellos que no lo sepan, esta es la técnica basada en robar imágenes de otros servidores para, normalmente, páginas personales, blogs... Es decir, encuentras una imagen en alguna página remota, y la enlazas directamente desde tu web. Esta es una práctica normalmente reprobable, ya que estás aumentando el ancho de banda, pudiéndole provocar al autor de esa web pagar más por el alojamiento.
Una anécdota que recuerdo sobre ésto es aquella web que tenía todas las imagenes de otro servidor y cuando éste otro servidor migro, el otro se quedo sin imágenes, es decir con todos los enlaces rotos por no haberlas hospedado en su sitio, y lo demandó. :P (no recuerdo la web..)

Para todos aquellos que esteis pensando en esta técnica o se os haya pasado por la cabeza, atentos:

La situación que se expone, está relacionada con el ataque CSRF sobre el cual ya comenté algo hace tiempo.

Magarto crea un hotlink de inkilino.com/image.png desde su blog. Inkilino, propietario de inkilino.com se da cuenta revisando sus estadísticas de los referers que le llegan desde el blog de Magarto para esa imagen en particular. A Inkilino no le gusta la idea de que alguien le esté robando el ancho de banda, ya esta cansado de que le roben, por lo que decide divertirse un rato. Con unas pocas lineas de directivas de mod_rewrite Inkilino redirige todas las peticiones desde inkilino.com/image.png hacia magarto.com/action.php?logout. Dado que el recurso que contiene el hotlink a la web de Inkilino aparece antes en el dashboard de Magarto, Magarto no podrá hacer login en su blog ya que cada vez que lo intente, ejecutará la función de logout.

Si alguien crea un hotlink, instantáneamente está creando un CSRF persistente como el anterior,
Los desarrolladores de aplicaciones Web2.0 necesitan estar muy concienciados con este tipo de ataques. Las aplicaciones Web2.0 se caracterizan principalmente porque la gente puede compartir los mismos datos a través de diferentes interfaces. Esto está muy bien en teoría pero cada vez que alguien coloca una imagen si esta no está asegurada, un ataque como el anterior podría ocurrir.

Podeis realizar una prueba de este ataque si sois usuarios de Google Reader, POC
Artículo original sobre el que me he basado para este post.

Más datos [ Hotlinks y CSRF persistentes. ]

6 comentarios:

Anónimo dijo...

Me has puesto los huevos de corbata al ver magarto y hotlink. Menos mal que no era más que una coña, porque no hacía más que pensar que imagen he puesto :P

Un saludo y es bueno saberlo

Emilio dijo...

#magarto tranquilo, os he cogido como ejemplo más cercano, para hacerlo más nuestro y se entienda en un contexto mas próximo.
No era mi intención ponértelos de corbata :)

Anónimo dijo...

Este problema sería más grave si la página que hace el hotlink es vulnerable a XSS.

Emilio dijo...

Gracias por el apunte Alex.

Liamngls dijo...

Pues es buenísimo, a alguno se le quitarían las tonterías después de una cosa así :-)

Emilio dijo...

#liamngls, se les quitaría la tontería y algo más. :D