Pwning Opera Unite s Inferno’s Eleven

Opera Unite, nadcházející verze prohlížeče Opera má silnou vizi změnit způsob, jakým se díváme na web. Pro ty, kteří jsou této radikální technologii neznámí, rozšiřuje váš prohlížeč do plně funkční sady pro spolupráci, kde můžete chatovat s lidmi, zanechávat poznámky, sdílet soubory, přehrávat média, hostovat vaše stránky atd. (Páni !!).


Opera Unite je dodáván se spoustou standardních služeb, jako jsou Lednice (Poznámky), The Lounge (Chatroom) atd. Je důležité pochopit, že tyto služby mají dva odlišné názory. Jeden pohled je Majitel služby, kdo nainstaluje, přizpůsobí a spustí tyto služby na svém počítači. Vlastník služby a počítač, na kterém jsou tyto služby provozovány, mají přiřazené identifikátory. Ve výchozím nastavení je název počítače “Domov”. Vaše domovská stránka pro správu je tedy http://admin.home.uid.operaunite.com/. Nezapomeňte, že ačkoli komunikační protokol vypadá jako http, není. Opera přenáší veškerý provoz pomocí proprietárního protokolu ucp (šifrovaného) na adresu asd.opera.com a auth.opera.com (žádné podrobnosti protokolu kromě zde). Druhým pohledem je Stránka služeb, kterou používají vaši uživatelé (přátelé, zákazníci atd.) Pro přístup k vybranému obsahu. Tito důvěryhodní uživatelé mají přístup k vašim službám z jakéhokoli prohlížeče (nejen opera unite) a používají prostý protokol http. Domovská stránka služby je http://home.uid.operaunite.com/.

Tento nápad mě fascinoval, a tak jsem se rozhodl podívat na bezpečnostní aspekty produktu (zatímco to bylo v beta verzi). Zde jsou moje zjištění v žádném konkrétním pořadí priorit (testováno na 10,00 Beta 3 Build 1703). Začleňuji PoC do svých příslušných sekcí. Nezapomeňte změnit “Domov” s vaším computerid a “infernosec2” s vaším uživatelským jménem.

1. Výčet uživatelských jmen vlastníků služeb - Pokud chcete provádět cílené útoky proti určitému uživateli, je snazší to provést uhodnutím jeho uživatelského jména. Uživatelská jména jsou obecně křestní jméno / příjmení / křestní jméno atd. Nicméně v případě obecnějších útoků Opera Unite usnadňuje náš úkol tím, že umožňuje Googlu indexovat uživatele’s stránky (konfigurovatelné). Zde je výstup z jednoduchého dotazu - site: operaunite.com

Pwning Opera Unite s Inferno's ElevenPwning Opera Unite s Inferno's Eleven

2. Výčet názvů počítačů pro konkrétního vlastníka služby - Jakmile se rozhodnete pro svého vlastníka cílové služby, dalším krokem je zjistit, které počítače k ​​němu patří. Z vyhledávače můžete získat pouze několik názvů počítačů a ne všechny, protože vlastník se mohl rozhodnout neindexovat soukromá jména. Pokud však navštívíte domovskou stránku služby s jakýmkoli neexistujícím názvem počítače, Opera Unite šťastně odhalí všechna počítačová jména použitá touto osobou..

Opera Unite Enum Enumerace jmen počítačůOpera Unite Enum Enumerace jmen počítačů

3. Výčet IP adresy a čísla portu serveru vlastníka služeb - Pokud jste vlastníkem služby a domníváte se, že vaše servery jsou maskovány servery proxy Unite Proxy, zamyslete se znovu. Opera Unite prozradí vaši IP adresu a číslo portu každému uživateli (i neověřenému), který navštíví vaše stránky služeb. Testoval jsem to, abych pracoval ve službách pro sdílení souborů a nahrávání souborů. Stačí udělat zdroj zobrazení: na kterékoli z těchto stránek.

Zveřejnění IP serveru a portů Opera UniteZveřejnění IP serveru a portů Opera Unite

4. Únos nezabezpečené komunikace na stránkách služeb - Zatímco Operační tým podnikl odpovídající kroky k zabezpečení vlastníka služby’s komunikací se servery Opera Unite (pomocí proprietárního ucp), ale komunikace uživatelů stránky Servis s Opera’s Server je prostý protokol http a není na výběr používat protokol https (jako například https://home.infernosec2.operaunite.com/file_sharing/content/). Tito uživatelé používají k přihlášení ke svým službám citlivé přihlašovací údaje a potřebují stejný druh zabezpečení jako vlastník služby. Ještě více šokující je, že systém správy uživatelů na adrese my.opera.com nepodporuje https. Zkuste navštívit https://my.opera.com/

Opera Unite Unsecure HTTP CommunicationOpera Unite Unsecure HTTP Communication

5. Hosting phishingových stránek a dalšího malwaru na důvěryhodné adrese Operaunite.com - Jako útočník můžete pomocí aplikace Opera Unite zobrazovat phishingové stránky a škodlivý software ze svého profilu. Jak sdílení souborů, tak i služby pro nahrávání souborů vykreslují obsah vlastníka služby v prohlížeči, takže uživatel je zranitelný vůči phishingu a dalším útokům malwaru. Například před poskytnutím nějakého obsahu phishingu uživateli poskytuji jeho opera sjednocující přihlašovací údaje. Uživatel by si mohl myslet, že obsah pochází z důvěryhodného operaunite.com, a proto má vysokou pravděpodobnost, že se dostane do tohoto spoof.

Opera Unite Phishing a Malware Hosting stránekOpera Unite Phishing a Malware Hosting stránek

6. CSRF-ing upload souboru od důvěryhodného uživatele - Řekněme, že důvěryhodný uživatel používá službu pro nahrávání souborů, tj. Poskytl přihlašovací údaje k přístupu. Zároveň, pokud tento uživatel přejde na můj zlý web, mohu ho přimět, aby nahrál libovolné soubory do vašeho počítače, čímž naruším důvěru, kterou k tomuto uživateli máte. Pokud vlastník služby omylem klikne na tento soubor, vykreslí se uvnitř prohlížeče (díky automatické detekci typu MIME) a ​​poof provede váš XSS. V níže uvedeném příkladu jsem napsal kód, který ukradl vaše přístupové heslo ke službě. Vezměte prosím na vědomí, že toto zneužití vyžaduje, aby váš důvěryhodný uživatel přistupoval ke službě z jakéhokoli prohlížeče jiného než Opera, protože Opera řádně uniká názvům souborů. Toto zneužití je k dispozici za posledních 1,5 let, ale dodavatelé prohlížečů nemají’Cítil jsem potřebu to opravit (stále funguje pro IE8, Firefox 3.5.2).

01.
02.
03. 04. Typ obsahu: text / html; ‘>
05.
06.
07.var xhr = new XMLHttpRequest ();
08.xhr.onreadystatechange = function () {
09.if (xhr.readyState == 4) {
10.if (xhr.status == 200) {
11.var vzor = /<[^>] * unite-aclPassword ”value =” ([^>] *) “>/ i;
12.if (pattern.test (xhr.responseText))
13. {
14.alert („Vaše acl heslo je:„ + RegExp. $ 1);
15.}
16.}
17.}
18.};
19.
20.xhr.open („GET“, „http://admin.home.infernosec2.operaunite.com/file_uploader/admin/“, true);
21.xhr.send (null);
22.
23.
24.
25.
26.
27.document.forms [0] .submit ();
28.
29.

Opera Unite CSRF ing upload file on File UploaderOpera Unite CSRF ing upload file on File Uploader

Opera Unite Uploaded File XSS odhaluje citlivé přístupové hesloOpera Unite Uploaded File XSS odhaluje citlivé přístupové heslo

7. CSRF-ing poznámka na lednici - Služba Lednice je neověřená služba, která je určena pro lidi, aby nechali poznámky na vašem počítači. Pokud tuto službu zapnete, může útočník zanechat podivné pobavující poznámky nebo jen vyplnit frontu (výchozí limit -24), aby nikdo jiný nemohl zveřejňovat cokoli. Možná by to však nechtěl dělat, protože jeho ip atd. By se mohl zaznamenávat prostřednictvím serverů Opera. Takže lepší nebo tajnější způsob je přimět ostatní uživatele, aby to udělali za něj. Každý uživatel, který navštíví jeho zlou stránku, může být nucen automaticky přidávat poznámky do kteréhokoli profilu Opera Unite. To zahrnuje i vlastníka služby, který může být nucen něco zveřejnit na svém počítači :):) .

01.
02.
03.
04.
05.
06.
07.
08.
09.document.forms [0] .submit ();
10.
11.

Opera Unite CSRF vypráví poznámku na ledniciOpera Unite CSRF vypráví poznámku na lednici

8. CSRF-Ing anyuserid se připojit k chatovací místnosti - Podobně jako v bodě 6 můžete donutit kteréhokoli důvěryhodného uživatele (který je již ve vaší chatovací místnosti ověřen s konkrétním uživatelským jménem), aby se znovu připojil k alternativním uživatelským jménům. Nemůže být nucen nic zveřejnit (ochrana CSRF), to však může zneužít k narušení jakékoli existující konverzace. Pořád těžko chápu, proč někdo chce takové funkce povolit ?

1.
2.
3.
4.
5.
6.document.forms [0] .submit ();
7.
8.

Opera Unite CSRF ing anyfakeid user to join the LoungeOpera Unite CSRF ing anyfakeid user to join the Lounge

9. XSS ing soubor unite-session-id cookie funguje téměř pro všechny služby - V souboru cookie unite-session-id je problém XSS, jehož hodnota se odráží v javascriptu http odpovědi. Nazval bych to jako problém s nízkou závažností, protože tento útok přepisování hlaviček http je možný pouze se staršími verzemi Flash (jako 7,8, nižší verze 9) a IE6. Stále ale chyba :):)

Opera Unite XSS pomocí souboru cookie unite-session-id pomocí staršího FlashOpera Unite XSS pomocí souboru cookie unite-session-id pomocí staršího Flash

10. Clickjacking libovolné servisní stránky - Opera Team podnikl nezbytné kroky k ochraně stránek vlastníka služby před jakýmkoli zneužitím typu clickjacking. Neposkytují však žádnou ochranu pro stránky služeb. S aktuálním seznamem výchozích služeb a operací povolených od důvěryhodného uživatele nemohu vymyslet zajímavé výhody. Jedním příkladem může být kliknutí na uživatele chatovací místnosti a nutit ho k odhlášení konverzace. Já ne’t dostatek času na to strávit. Když však stále více lidí začne psát své vlastní operní sjednocující služby, které umožňují dynamické interakce uživatele, bude tento druh ochrany určitě vyžadován.

11. Nekonzistence v zásadách hesel u některých služeb - Většina služeb spojených s operou je inicializována a chráněna výchozím 8 nebo 9 číslicovým alfanumerickým heslem. Fotoslužba je však chráněna výchozím 4 znakovým heslem, které lze snadno rozbít hrubou silou (vypadá, že fotografie jsou považovány za méně soukromé než soubory). Chatovací místnost je také neověřená ai když povolíte ochranu heslem, získá výchozí heslo “výchozí”. Vaši uživatelé tedy budou muset sami vygenerovat silné heslo, což je velmi nepravděpodobné.

Reference :-

1. Clickjacking - Jeremiah Grossman a Robert “RSnake” Hansen
http://ha.ckers.org/blog/20081007/clickjacking-details/

2. Kování záhlaví HTTP požadavků pomocí Flash - Amit Klein
http://www.securityfocus.com/archive/1/441014

3. Využití chyb zabezpečení XSS na souborech cookie - Sirdarckcat
http://sirdarckcat.blogspot.com/2008/01/exploiting-xss-vulnerabilities-on.html

4. Pole pro odesílání souborů CSRF-ing - Kuza55
http://kuza55.blogspot.com/2008/02/csrf-ing-file-upload-fields.html

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me