Pwning Opera yhdistää Infernon yksitoista

Opera Unite, tulevalla Opera-selaimen versiolla on vahva visio muuttaa tapaa, jolla tarkastelemme verkkoa. Niille, jotka eivät ole tunteneet tätä radikaalia tekniikkaa, se laajentaa selaimesi täysivaltaiseksi yhteistyöohjelmakokonaisuudeksi, jossa voit keskustella ihmisten kanssa, jättää muistiinpanoja, jakaa tiedostoja, toistaa mediaa, isännöidä sivustojasi jne. (Vau !!).


Opera Unite toimitetaan joukko vakiopalveluita, kuten jääkaappi (muistiinpanot), oleskelutila (chat) jne. On tärkeää ymmärtää, että näillä palveluilla on kaksi erillistä näkymää. Yksi näkymä on Palvelun omistaja, joka asentaa, mukauttaa ja käyttää näitä palveluita tietokoneellaan. Palvelun omistajalla ja näitä palveluja käyttävällä tietokoneella on liittyvät tunnukset. Oletusarvoisesti tietokoneen nimi on “Koti”. Joten, hallinnollinen kotisivusi on http://admin.home.uid.operaunite.com/. Muista, että vaikka viestintäprotokolla näyttää http: ltä, se ei ole. Opera välittää kaiken liikenteen käyttämällä patentoitua ucp-protokollaa (salattu) asd.opera.com ja auth.opera.com (ei protokollatietoja paitsi tässä). Toinen näkymä on palvelusivulle, jota käyttäjät (ystäväsi, asiakkaasi jne.) Käyttävät valitun sisällön käyttämiseen. Nämä luotetut käyttäjät voivat käyttää palveluitasi millä tahansa selaimella (ei vain opera unite) ja käyttävät tavallista http-protokollaa. Palvelun kotisivu on http://home.uid.operaunite.com/.

Minua kiinnosti tämä ajatus, joten päätin tarkastella tuotteen turvallisuusnäkökohtia (sen ollessa beeta). Tässä ovat havainnot missään erityisessä tärkeysjärjestyksessä (testattu 10.00 Beta 3 Build 1703). Olen sisällyttänyt PoC: n vastaaviin osioihin. Muista muuttaa “Koti” tietokoneesi kanssa ja “infernosec2” käyttäjänimelläsi.

1. Palvelunomistajien käyttäjänimien lueteleminen - No, jos haluat suorittaa kohdistettuja hyökkäyksiä tiettyä käyttäjää vastaan, se on helpompaa tehdä arvaamalla hänen käyttäjänimi. Käyttäjätunnukset ovat yleensä etunimi / sukunimi / etunimi.sukunimi jne. Yleisemmissä hyökkäyksissä Opera Unite kuitenkin helpottaa tehtäväämme antamalla Googlelle indeksoida käyttäjänsä’sivua (konfiguroitavissa). Tässä on tulos yksinkertaisesta kyselystä - sivusto: operaunite.com

Pwning Opera yhdistää Infernon yksitoistaPwning Opera yhdistää Infernon yksitoista

2. Tietyn palvelun omistajan tietokoneiden nimien luettelointi - Kun olet päättänyt kohdepalvelun omistajasta, seuraava askel on selvittää, mitkä tietokoneet kuuluvat hänelle. Huomaa, että hakukoneesta saatat saada vain muutama tietokoneen nimi eikä kaikkia, koska omistaja on ehkä päättänyt olla indeksoimatta yksityisiä. Jos vierailet palvelun kotisivulla jollain olemattomalla tietokoneella, Opera Unite paljastaa mielellään kaikki kyseisen henkilön käyttämät tietokoneet..

Opera Unite tietokoneiden nimien luettelointiOpera Unite tietokoneiden nimien luettelointi

3. Palvelun omistajan palvelimen IP-osoitteen ja porttinumeron lueteleminen - Jos olet palvelun omistaja ja ajattelet, että Opera Unite Proxy -palvelimet peittävät henkilöllisyytesi, ajattele uudelleen. Opera Unite paljastaa IP-osoitteesi ja porttinumerosi jokaiselle käyttäjälle (jopa todentamattomalle), joka käy palvelusivuillasi. Olen testannut tämän toimimaan tiedostojen jakamisessa ja tiedostojen latauspalveluissa. Tee vain katselulähde: millä tahansa näistä sivuista.

Opera Unite -palvelimen IP- ja porttijulkistusOpera Unite -palvelimen IP- ja porttijulkistus

4. Epävarman tiedonsiirron kaappaaminen palvelusivuilta - Opera-tiimi on toteuttanut riittävät toimenpiteet palvelun omistajan turvaamiseksi’viestintä Opera Unite -palvelimien kanssa (käyttämällä omaa ucp: tä), mutta palvelusivun käyttäjien viestintä Operaan’s Palvelin on tavallinen http, eikä https-sovellusta voida valita (kuten et voi tehdä https://home.infernosec2.operaunite.com/file_sharing/content/). Nämä käyttäjät käyttävät arkaluontoisia käyttöoikeustietoja kirjautuaksesi palveluihisi ja tarvitsevat samanlaista suojausta kuin palvelun omistaja. Shokeroiva on myös se, että my.opera.com-sivuston käyttäjänhallintajärjestelmä ei tue https: ää. Kokeile käydä osoitteessa https://my.opera.com/

Opera Unite epävarma HTTP-tiedonsiirtoOpera Unite epävarma HTTP-tiedonsiirto

5. Tietokalastelusivujen ja muiden haittaohjelmien ylläpito luotetulla Operaunite.com-sivustolla - Hyökkääjänä voit käyttää Opera Unitetta palvelemaan tietojenkalastelusivuja ja haittaohjelmasisältöä profiilissasi. Sekä tiedostojen jakaminen että tiedostojen latauspalvelut tekevät palvelun omistajalle sisällön selaimen sisällä ja jättävät käyttäjän alttiiksi tietojenkalastelulle ja muille haittaohjelmahyökkäyksille. Esimerkiksi ennen jonkin sisällön tarjoamista kehotan käyttäjää antamaan hänen oopperansa yhdistämiskirjat. Käyttäjä saattaa ajatella, että sisältö tulee luotetulta operaunite.com-sivustolta, ja siksi sillä on suuri todennäköisyys putoaa tähän huijaukseen.

Opera Unite Phishing- ja haittaohjelmasivujen ylläpitoOpera Unite Phishing- ja haittaohjelmasivujen ylläpito

6. CSRF-tiedoston lataaminen luotetulta käyttäjältä - Sanotaan, että luotettu käyttäjä käyttää tiedostonsiirtopalveluasi, ts. Hän on toimittanut käyttöoikeustiedot käyttääkseen sitä. Samaan aikaan, jos kyseinen käyttäjä menee pahalle sivustolleni, voin saada hänet lataamaan mielivaltaisia ​​tiedostoja tietokoneellesi ja siten rikkomaan luottamustasi siihen käyttäjään. Jos palvelun omistaja napsauttaa tiedostoa vahingossa, se näyttää selaimen sisällä (automaattisen MIME-tyyppintunnistuksen ansiosta) ja huijaa XSS-suorituksen. Alla olevassa esimerkissä olen kirjoittanut koodin varastamaan palvelusi salasanasi. Huomaa, että tämä hyväksikäyttö edellyttää, että luotettu käyttäjä käyttää palvelua muulta selaimelta kuin Opera, koska Opera palaa tiedostonimet oikein. Tätä hyväksikäyttöä ei ole tehty viimeisen 1,5 vuoden aikana, mutta selaimen myyjät turvaavat’t tunsi tarvetta korjata tämä (toimii edelleen IE8: lle, Firefox 3.5.2).

01.
02.
03. 04.Sisällön tyyppi: teksti / html; ’>
05.
06.
07.var xhr = uusi XMLHttpRequest ();
08.xhr.onreadystatechange = function () {
09.if (xhr.readyState == 4) {
10.if (xhr.status == 200) {
11.varimalli = /<[^>] * unite-aclPassword ”value =” ([^>] *)”>/ I;
12.Jos (pattern.test (xhr.responseText))
13. {
14.alert (“ACL-salasanasi on:“ + RegExp. $ 1);
15.}
16.}
17.}
18.};
19.
20.xhr.open ('GET', 'http://admin.home.infernosec2.operaunite.com/file_uploader/admin/', totta);
21.xhr.send (null);
22.
23.
24.
25.
26.
27.document.forms [0] .submit ();
28.
29.

Opera Unite CSRF siirtää tiedoston lataamiseen File Uploader -sovelluksessaOpera Unite CSRF siirtää tiedoston lataamiseen File Uploader -sovelluksessa

Opera Unite Uploaded File XSS paljastaa arkaluontoisen käyttösalasananOpera Unite Uploaded File XSS paljastaa arkaluontoisen käyttösalasanan

7. CSRF-huomautuksen jääkaapissa - Jääkaappipalvelu on todentamaton palvelu, joka on tarkoitettu ihmisten jättämään muistiinpanoja tietokoneellesi. Jos otat tämän palvelun käyttöön, hyökkääjä voi jättää omituisia halventavia hauskuja huomautuksia tai vain täyttää jonon (oletusraja -24), jotta kukaan muu ei voi lähettää mitään. Hän ei kuitenkaan ehkä halua tehdä niin, koska Opera IP-palvelimet voivat kirjautua hänen IP-osoitteeseensa jne. Joten, parempi tai varovaisempi tapa on saada muut käyttäjät tekemään se hänen puolestaan. Jokainen pahan sivuston vieraileva käyttäjä voidaan saada lähettämään muistiinpanoja mihin tahansa Opera Unite -profiiliin. Tämä sisältää myös palvelun omistajan, joka voidaan pakottaa lähettämään jotain tietokoneelleen :):) .

01.
02.
03.
04.
05.
06.
07.
08.
09.document.forms [0] .submit ();
10.
11.

Opera Unite CSRF: n muistiinpano jääkaapissaOpera Unite CSRF: n muistiinpano jääkaapissa

8. CSRF-Ing halutaan liittyä chattiin - Kuten kohdassa (6), voit pakottaa jokaisen luotettavan käyttäjän (joka on jo todennettu chat-huoneeseesi tietyllä käyttäjätunnuksella) liittymään vaihtoehtoisiin käyttäjätunnuksiin. Häntä ei voida pakottaa lähettämään mitään (csrf-suojaus), mutta sitä voidaan väärinkäyttää keskeyttääksesi olemassa olevan keskustelun. Minulla on edelleen vaikea ymmärtää miksi kukaan haluaa sallia tällaisen toiminnallisuuden ?

1.
2.
3.
4.
5.
6.document.forms [0] .submit ();
7.
8.

Opera Unite CSRF liittää ketkä tahansa vääriä käyttäjät liittymään oleskelutilaanOpera Unite CSRF liittää ketkä tahansa vääriä käyttäjät liittymään oleskelutilaan

9. XSS yhdistää-istunto-id-eväste toimii lähes kaikissa palveluissa - Unite-session-id-evästeessä on XSS-ongelma, jonka arvo toistuu javascript of http -vastauksessa. Kutsun tätä alhaisen vakavuuden ongelmaksi, koska tämä http-otsikkojen korvaushyökkäys on mahdollista vain Flashin vanhempien versioiden (kuten 7,8, 9: n alaversiot) ja IE6: n kanssa. Silti virhe :):)

Opera Unite XSS yhdistää istunto-id-evästeen käyttämällä vanhempaa FlashiaOpera Unite XSS yhdistää istunto-id-evästeen käyttämällä vanhempaa Flashia

10. Minkä tahansa palvelusivun napsauttaminen - Opera Team on ryhtynyt tarvittaviin toimiin palvelun omistajasivujen suojaamiseksi kaikenlaisilta napsautuksen hyödyntämisiltä. Ne eivät kuitenkaan tarjoa minkäänlaista suojaa palvelusivuille. Koska luotettavan käyttäjän on sallittu nykyinen oletuspalveluiden ja -toimintojen luettelo, en voi ajatella mielenkiintoisia hyötyjä. Yksi esimerkki voi olla keskustelupalsta-käyttäjän napsauttaminen ja pakottaa hänet poistumaan keskustelusta. minä en’t saa paljon aikaa viettää tähän. Mutta kun yhä useammat ihmiset alkavat kirjoittaa omia oopperapalveluitaan, jotka sallivat käyttäjän dynaamisen vuorovaikutuksen, tällaista suojausta tarvitaan ehdottomasti.

11. Joidenkin palveluiden salasanakäytännön epäjohdonmukaisuus - Suurin osa oopperayhdistelmäpalveluista alustetaan ja suojataan oletusarvoisella 8- tai 9-numeroisella aakkosnumeerisella salasanalla. Valokuvapalvelu on kuitenkin suojattu oletusarvolla 4 char -salasanalla, joka on helposti murtettavissa raa'alla voimalla (näyttää siltä, ​​että valokuvia pidetään vähemmän yksityisinä kuin tiedostoina). Lisäksi chat-huoneita ei ole todennettu, ja vaikka otatkin käyttöön salasanasuojauksen, se noutaa oletussalasanan “oletusarvo”. Joten käyttäjien on luotava vahva salasana itse, mikä on erittäin epätodennäköistä.

Viitteet: -

1. Napsauttaminen - Jeremiah Grossman ja Robert “RSnake” Hansen
http://ha.ckers.org/blog/20081007/clickjacking-details/

2. HTTP-pyyntöotsikoiden muotoilu Flashilla - Amit Klein
http://www.securityfocus.com/archive/1/441014

3. XSS-haavoittuvuuksien hyödyntäminen evästeissä - Sirdarckcat
http://sirdarckcat.blogspot.com/2008/01/exploiting-xss-vulnerabilities-on.html

4. CSRF-tiedostojen lähetyskentät - Kuza55
http://kuza55.blogspot.com/2008/02/csrf-ing-file-upload-fields.html

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me