Pwning Opera Unite с Innerno’s Eleven

Opera Unite, предстоящата версия на браузъра Opera има силна визия да промени начина, по който гледаме в мрежата. За тези, които не са известни на тази радикална технология, тя разширява браузъра ви в пълноценен пакет за сътрудничество, където можете да разговаряте с хора, да оставяте бележки, да споделяте файлове, да играете медии, да хоствате сайтовете си и т.н. (Уау !!).


Opera Unite се предлага в комплект с куп стандартни услуги като хладилник (бележки), фоайе (чат) и др. Важно е да се разбере, че тези услуги имат две различни гледни точки. Едното мнение е на Собственик на услугата, който инсталира, персонализира и управлява тези услуги на своя компютър. Собственикът на услугата и компютърът, работещ с тези услуги, имат свързани идентификатори. По подразбиране името на компютъра е “У дома”. Така че, административната ви страница е http://admin.home.uid.operaunite.com/. Не забравяйте, че въпреки че протоколът за комуникация изглежда като http, това не е така. Opera препредава целия трафик, използвайки патентен ucp протокол (криптиран) към asd.opera.com и auth.opera.com (без подробности за протокола, освен тук). Другият изглед е на страницата на услугата, която се използва от вашите потребители (приятели, клиенти и т.н.) за достъп до избраното от вас съдържание. Тези надеждни потребители могат да получат достъп до вашите услуги от всеки браузър (а не само оперативните обединения) и използват обикновения http протокол. Началната страница на услугата е http://home.uid.operaunite.com/.

Бях очарован от тази идея, затова реших да разгледам аспектите на сигурността на продукта (докато той беше в бета). Ето моите открития в никакъв конкретен приоритетен ред (тестван на 10.00 Beta 3 Build 1703). Включвам PoC в съответните им раздели. Не забравяйте да промените “У дома” с вашия компютър и “infernosec2” с вашия потребител.

1. Изброяване на потребителски имена на собственици на услуги - Е, ако искате да извършвате насочени атаки срещу конкретен потребител, е по-лесно да го направите, като отгатнете неговото потребителско име. Потребителските имена обикновено са име / фамилия / firstname.lastname и т.н. Въпреки това, за по-общи атаки, Opera Unite улеснява нашата задача, като позволява на Google да индексира своя потребител’s страници (може да се конфигурира). Ето изхода от обикновена заявка - сайт: operaunite.com

Pwning Opera Unite с Innerno's ElevenPwning Opera Unite с Innerno's Eleven

2. Изброяване на имена на компютри за конкретен собственик на услуга - След като вземете решение за собственика на вашата целева услуга, следващата стъпка е да определите кои компютри принадлежат на него или нея. Обърнете внимание, че от търсачката може да получите само няколко компютърни имена и не всички, тъй като собственикът може да е избрал да не индексира частните. Ако обаче посетите началната страница на услугата с някое несъществуващо компютърно име, тогава Opera Unite радващо разкрива всички компютърни имена, използвани от този човек.

Изброяване на компютърни имена Opera UniteИзброяване на компютърни имена Opera Unite

3. Изчисляване на IP адрес и номер на порта на сървъра на собственика на услугата - Ако сте собственик на услуга и смятате, че вашата идентичност е маскирана от прокси сървъри Opera Unite, помислете отново. Opera Unite разкрива вашия IP адрес и номер на порт на всеки потребител (дори неоторизиран), който посещава вашите услуги на страниците. Тествах това, за да работя за споделяне на файлове и услуги за зареждане на файлове. Просто направете изглед-източник: на която и да е от тези страници.

Разкриване на IP и порт на сървъра Opera UniteРазкриване на IP и порт на сървъра Opera Unite

4. Отвличане на несигурна комуникация в страници на услуги - Докато екипът на Opera предприема адекватни стъпки за осигуряване на Собственика на услугата’s комуникация със Opera Unite сървъри (използващи собствени ucp), но комуникацията на потребителите на Service Page с Opera’s Server е обикновен http и няма избор да използвате https (като не можете да направите https://home.infernosec2.operaunite.com/file_sharing/content/). Тези потребители използват чувствителни идентификационни данни за влизане във вашите услуги и се нуждаят от същия вид защита като собственика на услугата. По-шокиращото е, че системата за управление на потребителите в my.opera.com не поддържа https. Опитайте да посетите https://my.opera.com/

Opera Unite Несигурна HTTP комуникацияOpera Unite Несигурна HTTP комуникация

5. Хостинг на фишинг страници и друг зловреден софтуер в Trusted Operaunite.com - Като нападател можете да използвате Opera Unite, за да обслужвате фишинг страници и съдържание от зловреден софтуер от вашия профил. Както споделянето на файлове, така и услугите за качване на файлове правят съдържанието на собственика на услугата вътре в браузъра, оставяйки потребителя уязвим за фишинг и други атаки на злонамерен софтуер. Например, преди да сервирам някакво съдържание, фиширам потребителя да му предостави идентификационни данни за опера. Потребителят може да мисли, че съдържанието идва от надежден operaunite.com и следователно има голяма вероятност да попадне на тази подлога.

Опера Съединете фишинг и хостинг на страници със злонамерен софтуерОпера Съединете фишинг и хостинг на страници със злонамерен софтуер

6. CSRF-а за качване на файл от надежден потребител - Да кажем, че надежден потребител използва услугата за изтегляне на файлове, т.е. той е предоставил идентификационни данни за достъп до него. В същото време, ако този потребител отиде на моя зъл сайт, мога да го накарам да качва произволни файлове на вашия компютър, като по този начин нарушава доверието, което имате към този потребител. Ако собственикът на услугата щракне случайно върху този файл, той се изобразява вътре в браузъра (благодарение на автоматично откриване на MIME тип) и проверява пускането на вашия XSS. В примера по-долу написах код, за да ви открадна паролата за достъп до услугата. Моля, обърнете внимание, че този експлоатация изисква вашият надежден потребител да получи достъп до услугата от всеки браузър, различен от Opera, тъй като Opera избягва правилно имената на файловете. Този експлоатация е излязъл през последните 1,5 години, но доставчиците на браузъри не са убедени’не чувствах необходимостта да поправя това (все още работи за IE8, Firefox 3.5.2).

01.
02.
03. 04.Съдържание-тип: текст / html; ">
05.
06.
07.var xhr = нов XMLHttpRequest ();
08.xhr.onreadystatechange = функция () {
09.if (xhr.readyState == 4) {
10.if (xhr.status == 200) {
11.var модел = /<[^>] * unite-aclPassword ”value =” ([^>] *) ">/ I;
12.if (pattern.test (xhr.responseText))
13. {
14.alert („Вашата acl парола е:„ + RegExp. $ 1);
15.}
16.}
17.}
18.};
19.
20.xhr.open („GET“, „http://admin.home.infernosec2.operaunite.com/file_uploader/admin/“, вярно);
21.xhr.send (нула);
22.
23.
24.
25.
26.
27.document.forms [0] .submit ();
28.
29.

Opera Unite CSRF с качване на файл във File UploaderOpera Unite CSRF с качване на файл във File Uploader

Каченият файл на Opera Unite XSS разкрива чувствителна парола за достъпКаченият файл на Opera Unite XSS разкрива чувствителна парола за достъп

7. CSRF с бележка за хладилника - Хладилната услуга е неоторизирана услуга, предназначена за хората да оставят бележки на вашия компютър. Ако включите тази услуга, нападател може да остави странни забавни бележки за забавление или просто да попълни опашката (лимит по подразбиране -24), така че никой друг да не може да публикува нищо. Той обаче може да не иска да прави това, тъй като ip и т.н. може да се регистрира от Opera сървъри. И така, по-добрият или по-крадлив начин е да накарате другите потребители да го правят вместо него. Всеки потребител, който посещава неговия зъл сайт, може да бъде накаран да публикува автоматично бележки във всеки профил на Opera Unite. Това включва и собственика на услугата, който може да бъде принуден да публикува нещо на своя компютър :):) .

01.
02.
03.
04.
05.
06.
07.
08.
09.document.forms [0] .submit ();
10.
11.

Opera Unite CSRF с бележка за хладилникаOpera Unite CSRF с бележка за хладилника

8. CSRF-Ing anyuserid за присъединяване към чат - Подобно на (6), можете да принудите всеки доверен потребител (който вече е удостоверен във вашата чат-стая с конкретен userid) да се присъедини с алтернативни потребителски имена. Той или тя не може да бъде принуден да публикува нищо (csrf защита), но това може да злоупотреби, за да наруши всеки съществуващ разговор. Все още трудно разбирам защо някой иска да разреши такава функционалност ?

1.
2.
3.
4.
5.
6.document.forms [0] .submit ();
7.
8.

Opera Unite CSRF с anyfakeid потребител, за да се присъедини към LoungeOpera Unite CSRF с anyfakeid потребител, за да се присъедини към Lounge

9. XSS, използвайки бисквитката unite-session-id, работи за почти всички услуги - В бисквитата unite-session-id има XSS проблем, чиято стойност се озвучава в javascript на http отговор. Бих нарекъл това като проблем с малка тежест, тъй като тази атака на презаписване на http заглавия е възможна само при по-стари версии на Flash (като 7,8, по-ниски версии на 9) и IE6. Все пак бъг :):)

Opera Unite XSS, използвайки бисквитата unite-session-id, използвайки по-стария FlashOpera Unite XSS, използвайки бисквитата unite-session-id, използвайки по-стария Flash

10. Кликване върху която и да е страница на услугата - Екипът на Opera предприе необходимите стъпки, за да защити страниците на собствениците на услуги от всякакъв тип подвизи за щракване. Те обаче не предоставят никаква защита на страниците с услуги. При сегашния списък на услуги и операции по подразбиране, разрешени от надежден потребител, не мога да се сетя за интересни подвизи. Един пример може да бъде да щракнете върху потребител на чат и да го принудите да излезе от разговор. Не го направих’няма да отделя много време за това. Но когато все повече и повече хора започват да пишат свои собствени услуги за обединяване на опера, които позволяват динамични взаимодействия с потребителите, този тип защита определено ще се изисква.

11. Несъответствие в политиката за пароли за някои услуги - Повечето услуги за обединяване на операция се инициализират и защитават с 8 или 9 цифрена буквено-цифрова парола по подразбиране. Въпреки това, услугата за снимки е защитена от подразбираща се 4 char парола, която е лесно разбиваема от груба сила (изглежда, че снимките се считат за по-малко лични от файловете). Освен това, чатовата зала е неоторизирана и дори ако активирате защита с парола, тя избира парола по подразбиране “по подразбиране”. Така че вашите потребители ще трябва сами да генерират силна парола, което е много малко вероятно.

Препратки :-

1. Clickjacking - Йеремия Гросман и Робърт “RSnake” Hansen
http://ha.ckers.org/blog/20081007/clickjacking-details/

2. Коване на HTTP заглавни заявки с Flash - Amit Klein
http://www.securityfocus.com/archive/1/441014

3. Използване на XSS уязвимости на бисквитките - Sirdarckcat
http://sirdarckcat.blogspot.com/2008/01/exploiting-xss-vulnerabilities-on.html

4. CSRF-та полета за качване на файлове - Kuza55
http://kuza55.blogspot.com/2008/02/csrf-ing-file-upload-fields.html

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me