Zabijanje Opera Unite z Inferno enajstimi

Opera Unite, prihajajoča različica brskalnika Opera ima močno vizijo, da spremeni način gledanja na splet. Za tiste, ki jim ta radikalna tehnologija ni znana, vaš brskalnik razširi na celoten paket za sodelovanje, kjer lahko klepetate z ljudmi, puščate zapiske, delite datoteke, predvajate medije, gostujete na svojih spletnih mestih itd. (Wow !!).


Opera Unite je opremljena s kopico standardnih storitev, kot so hladilnik (Notes), salon (klepetalnica) itd. Pomembno je razumeti, da imajo te storitve dva različna stališča. Eden pogled je na Lastnik storitve, ki te storitve namesti, prilagodi in vodi v svojem računalniku. Lastnik storitve in računalnik, ki te storitve opravlja, imajo identifikatorje. Privzeto je ime računalnika “domov”. Vaša skrbniška domača stran je torej http://admin.home.uid.operaunite.com/. Ne pozabite, da čeprav protokol komunikacije izgleda kot http, ni. Opera preusmeri ves promet z lastniškim protokolom ucp (šifriran) na asd.opera.com in auth.opera.com (tukaj ni podatkov o protokolu). Drugi pogled je na strani storitve, ki jo vaši uporabniki (prijatelji, stranke itd.) Uporabljajo za dostop do izbrane vsebine. Ti zaupanja vredni uporabniki lahko dostopajo do vaših storitev iz katerega koli brskalnika (ne le opera unite) in uporabljajo navaden protokol http. Domača stran storitve je http://home.uid.operaunite.com/.

Ta ideja me je fascinirala, zato sem se odločil pogledati varnostne vidike izdelka (medtem ko je bil v beta različici). Tu so moje ugotovitve v posebnem prednostnem vrstnem redu (preizkušeno na 10.00 Beta 3 Zgradba 1703). V svoje odseke vključujem PoC. Ne pozabite spremeniti “domov” z računalnikom in “infernosec2” z vašim uporabnikom.

1. Popis uporabniških imen lastnikov storitev - No, če želite izvesti ciljane napade na določenega uporabnika, je to lažje storiti s ugibanjem njegovega uporabniškega imena. Uporabniška imena so ponavadi ime / priimek / ime.ime imena itd. Vendar pa za bolj generične napade Opera Unite olajša našo nalogo, saj Googlu dovoli, da indeksira svojega uporabnika’s strani (nastavljiv). Tu je izhod iz preproste poizvedbe - spletnega mesta: operaunite.com

Zabijanje Opera Unite z Inferno enajstimiZabijanje Opera Unite z Inferno enajstimi

2. Naštevanje imen računalnikov za določenega lastnika storitve - Ko se odločite za lastnika ciljne storitve, je naslednji korak določitev, kateri računalniki pripadajo njemu. Upoštevajte, da lahko iz iskalnika dobite le nekaj računalniških imen in ne vseh, saj bi lastnik morda izbral, da zasebnih ne bo indeksiral. Če pa obiščete domačo stran storitve s katerim koli neobstoječim računalniškim imenom, potem Opera Unite z veseljem razkrije vsa računalniška imena, ki jih uporablja ta oseba.

Popis računalniških imen Opera UnitePopis računalniških imen Opera Unite

3. Poštevanje IP naslov in številka vrat strežnika lastnika storitve - Če ste lastnik storitve in mislite, da vašo identiteto zakrivajo proxy strežniki Opera Unite, premislite še enkrat. Opera Unite razkrije vaš naslov IP in številko vrat vsem uporabnikom (tudi nepooblaščenim), ki obiščejo vaše storitvene strani. To sem preizkusil, da delam na skupni rabi datotek in storitvah nalaganja datotek. Preprosto naredite vir pogleda: na kateri koli od teh strani.

Razkrivanje IP-jev in vrat za strežnik Opera UniteRazkrivanje IP-jev in vrat za strežnik Opera Unite

4. Ugrabitev nezanesljive komunikacije na straneh storitev - Medtem ko je Opera Team sprejel ustrezne ukrepe za zagotovitev lastnika storitve’s komunikacijo s strežniki Opera Unite (z uporabo lastniškega ucp), vendar komunikacijo uporabnikov storitvenih strani z Opera’s Server je navaden http in ni izbire za uporabo https (kot ne morete storiti https://home.infernosec2.operaunite.com/file_sharing/content/). Ti uporabniki za prijavo v vaše storitve uporabljajo občutljive poverilnice in potrebujejo enako zaščito kot lastnik storitve. Še bolj šokantno je, da sistem za upravljanje uporabnikov na spletnem mestu my.opera.com ne podpira https-ja. Poskusite obiskati https://my.opera.com/

Opera Unite Secure HTTP komunikacijaOpera Unite Secure HTTP komunikacija

5. Gostovanje phishing strani in druge zlonamerne programske opreme na Trusted Operaunite.com - Kot napadalec lahko uporabite Opera Unite, da v svojem profilu prikazujete phishing strani in vsebino zlonamerne programske opreme. Tako skupna raba datotek kot tudi datoteke za nalaganje datotek prikazujejo vsebino lastnika storitve znotraj brskalnika, uporabnik pa je ranljiv za phishing in druge napade zlonamerne programske opreme. Na primer, preden uporabim določeno vsebino, uporabnika podredim, da mu posreduje poverilnice svoje opere. Uporabnik lahko pomisli, da vsebina prihaja z zaupanja vrednega operaunite.com in zato obstaja velika verjetnost, da bo padla na ta podvig.

Opera Unite phishing in gostovanje zlonamerne programske opremeOpera Unite phishing in gostovanje zlonamerne programske opreme

6. CSRF-ov prenos datoteke od zaupanja vrednega uporabnika - Recimo, da zaupanja vreden uporabnik uporablja vašo storitev za nalaganje datotek, tj. Priskrbel je poverilnice za dostop do njega. Hkrati, če ta uporabnik odide na mojo zlo stran, mu lahko omogočim, da naloži poljubne datoteke v vaš računalnik in s tem poruši zaupanje, ki ga imate do tega uporabnika. Če lastnik storitve pomotoma klikne na to datoteko, se pokaže v brskalniku (zahvaljujoč samodejnemu zaznavanju tipa MIME) in pokaže, da se vaš XSS izvede. V spodnjem primeru sem napisal kodo, da sem ukradel geslo za dostop do vaše storitve. Upoštevajte, da ta izkoriščanje zahteva, da vaš zaupanja vreden uporabnik dostopa do storitve iz katerega koli brskalnika, ki ni Opera, ker Opera pravilno umakne imena datotek. Ta izkoriščanje ni bilo v zadnjih 1,5 letih, vendar prodajalci brskalnikov niso’nisem čutil potrebe, da bi to odpravil (še vedno deluje za IE8, Firefox 3.5.2).

01.
02.
03. 04. Vsebina-vrsta: besedilo / html; „>
05.
06.
07.var xhr = nov XMLHttpRequest ();
08.xhr.onreadystatechange = funkcija () {
09.if (xhr.readyState == 4) {
10.if (xhr.status == 200) {
11.var vzorec = /<[^>] * unite-aclPassword ”value =” ([^>] *) «>/jaz;
12.if (pattern.test (xhr.responseText))
13. {
14.alert ("Vaše acl geslo je:" + RegExp. $ 1);
15.}
16.}
17.}
18.};
19.
20.xhr.open ('GET', 'http://admin.home.infernosec2.operaunite.com/file_uploader/admin/', res);
21.xhr.send (ničelno);
22.
23.
24.
25.
26.
27.dokumenti.forms [0]. Oddaja ();
28.
29.

Opera Unite CSRF z nalaganjem datoteke na File UploaderOpera Unite CSRF z nalaganjem datoteke na File Uploader

Naložena datoteka XSS Opera Unite razkrije občutljivo geslo za dostopNaložena datoteka XSS Opera Unite razkrije občutljivo geslo za dostop

7. CSRF z opombo o hladilniku - Storitev hladilnika je nepooblaščena storitev, ki je namenjena temu, da ljudje na računalniku puščajo zapiske. Če vklopite to storitev, lahko napadalec pusti čudne zavajajoče zabavne opombe ali samo izpolni čakalno vrsto (privzeta omejitev -24), tako da nihče drug ne more ničesar objaviti. Vendar tega morda ne bi želel storiti, ker bi lahko operacijski strežniki beležili svoj ip itd. Torej, boljši ali bolj prikrit je način, da drugi uporabniki to storijo zanj. Vsak uporabnik, ki obišče njegovo zlo mesto, lahko samodejno objavi opombe v kateri koli profil Opera Unite. Sem spada tudi lastnik storitve, ki je lahko prisiljen nekaj objaviti na svojem računalniku :):) .

01.
02.
03.
04.
05.
06.
07.
08.
09.document.forms [0] .submit ();
10.
11.

Opera Unite CSRF z noto o hladilnikuOpera Unite CSRF z noto o hladilniku

8. CSRF-Ing anyuserid, da se pridruži klepetalnici - Podobno kot (6) lahko prisilite vsakega zaupanja vrednega uporabnika (ki je že bil overjen v vaši klepetalnici z določenim uporabnikom), da se ponovno pridruži z nadomestnimi uporabniškimi imeni. Ničesar ne moremo prisiliti v objavo (zaščita csrf), vendar lahko to zlorabi, da prekine kakršen koli obstoječi pogovor. Še vedno težko razumem, zakaj si kdo želi dovoliti takšno funkcionalnost ?

1.
2.
3.
4.
5.
6.dokumenti.forms [0]. Oddaj ();
7.
8.

Opera Unite CSRF in anyfakeid uporabnika, da se pridruži LoungeuOpera Unite CSRF in anyfakeid uporabnika, da se pridruži Loungeu

9. XSS z piškotom unite-session-id deluje za skoraj vse storitve - V piškotu unite-session-id obstaja težava XSS, katere vrednost odmeva v javascriptu odziva http. To bi rekel kot težava z majhno resnostjo, saj je ta napad prepisovanja http naslovov mogoč le pri starejših različicah Flash (na primer 7,8, nižje različice 9) in IE6. Še vedno pa hrošče :):)

Opera Unite XSS z piškotom unite-session-id s starejšim Flash-omOpera Unite XSS z piškotom unite-session-id s starejšim Flash-om

10. Klikanje katere koli storitvene strani - Ekipa Opera je sprejela potrebne ukrepe za zaščito strani lastnikov storitev pred kakršnimi koli izkoriščanjem klikov. Vendar pa ne nudijo nobene zaščite za storitvene strani. Ob trenutnem seznamu privzetih storitev in operacij, ki jih dovoljuje zaupanja vreden uporabnik, ne morem pomisliti na zanimive podvige. En primer je, da uporabnik klepetalnice klikne in ga prisili k odjavi pogovora. nisem’ne morem porabiti veliko časa za to. Ko pa bo vse več ljudi začelo pisati lastne storitve opera unite, ki omogočajo dinamično interakcijo uporabnikov, bo ta vrsta zaščite zagotovo potrebna.

11. Neskladnost politike gesla za nekatere storitve - Večina storitev združuje operacijo in jih zaščiti s privzeto 8-ali 9-mestno alfanumerično geslo. Fotografska storitev pa je zaščitena s privzeto geslom s 4 znaki, ki ga s silovito silo zlahka prekine (videti je, da fotografije veljajo za manj zasebne kot datoteke). Poleg tega je klepetalnica zunaj okvira brez preverjanja pristnosti in četudi omogočite zaščito z geslom, privzame privzeto geslo “privzeto”. Tako bodo morali vaši uporabniki sami ustvariti močno geslo, kar je zelo malo verjetno.

Reference: -

1. Clickjacking - Jeremiah Grossman in Robert “RSnake” Hansen
http://ha.ckers.org/blog/20081007/clickjacking-details/

2. Kovanje glave zahtevkov HTTP s Flash - Amit Klein
http://www.securityfocus.com/archive/1/441014

3. Izkoriščanje ranljivosti XSS na piškotkih - Sirdarckcat
http://sirdarckcat.blogspot.com/2008/01/exploiting-xss-vulneraibility-on.html

4. Polja za nalaganje datotek CSRF-a - Kuza55
http://kuza55.blogspot.com/2008/02/csrf-ing-file-upload-fields.html

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me