Pwning Opera Unite with Inferno’s Eleven

Opera Unite, den kommende versjonen av Opera-nettleseren har en sterk visjon om å endre hvordan vi ser på nettet. For de som er ukjente med denne radikale teknologien, utvider den nettleseren din til en fullverdig samarbeidssuite hvor du kan chatte med folk, legge igjen notater, dele filer, spille medier, være vertskap for nettstedene dine, osv. (Wow !!).


Opera Unite kommer med en rekke standardtjenester som kjøleskap (notater), salongen (chatroom), etc. Det er viktig å forstå at disse tjenestene har to forskjellige synspunkter. Den ene utsikten er av Tjenesteier, som installerer, tilpasser og kjører disse tjenestene på datamaskinen hans. Tjenesteieren og datamaskinen som kjører disse tjenestene har tilknyttede identifikatorer. Som standard er datamaskinens navn “hjem”. Så den administrative hjemmesiden din er http://admin.home.uid.operaunite.com/. Husk at selv om protokollen for kommunikasjon ser ut som http, er den ikke det. Opera videresender all trafikk ved hjelp av en proprietær ucp-protokoll (kryptert) til asd.opera.com og autor.opera.com (ingen protokolldetaljer unntatt her). Den andre visningen er av servicesiden som brukes av brukerne dine (venner, kunder osv.) For å få tilgang til det valgte innholdet. Disse pålitelige brukerne kan få tilgang til tjenestene dine fra hvilken som helst nettleser (ikke bare opera unite) og bruker den vanlige http-protokollen. Tjenestens hjemmeside er http://home.uid.operaunite.com/.

Jeg ble fascinert av denne ideen, så jeg bestemte meg for å se på sikkerhetsaspektene ved produktet (mens det var i beta). Her er funnene mine i ingen særlig prioritert rekkefølge (testet på 10.00 Beta 3 Bygg 1703). Jeg inkluderer PoC i deres respektive seksjoner. Husk å endre “hjem” med datamaskinen din og “infernosec2” med brukeren din.

1. Brukernavn for tjenesteeier - Vel, hvis du vil utføre målrettede angrep mot en bestemt bruker, er det lettere å gjøre det ved å gjette brukernavnet sitt. Brukernavn er vanligvis fornavn / etternavn / fornavn.lastnavn osv. For flere generiske angrep gjør Opera Unite imidlertid oppgaven vår enklere ved å la Google indeksere brukeren’s sider (konfigurerbar). Her er utdataene fra en enkel spørringsside: operaunite.com

Pwning Opera Unite with Inferno's ElevenPwning Opera Unite with Inferno's Eleven

2. Oppregne datamaskinnavn for en bestemt tjenesteeier - Når du bestemmer deg for måltjenesteeieren din, er neste trinn å bestemme hvilke datamaskiner som tilhører ham eller henne. Vær oppmerksom på at det fra søkemotoren bare er få datamaskinnavn og ikke alle siden eieren kanskje har valgt å ikke indeksere de private. Hvis du imidlertid besøker tjenestesiden med et hvilket som helst datamaskinnavn, avslører Opera Unite heldigvis alle datamaskinnavn som er brukt av den personen.

Opera Unite Computer Nummer EnumerationOpera Unite Computer Nummer Enumeration

3. Oppregne tjenesteeierens IP-adresse og portnummer - Hvis du er tjenesteeier og tenker at identiteten din er maskert av Opera Unite Proxy-servere, tenk på nytt. Opera Unite oppgir din IP-adresse og portnummer til enhver bruker (til og med ikke autentifisert) som besøker tjenestesidene dine. Jeg har testet dette for å fungere på fildeling og filopplastingstjenester. Bare gjør en visningskilde: på noen av disse sidene.

Opera Unite Server IP og Port DisclosureOpera Unite Server IP og Port Disclosure

4. Kapring usikker kommunikasjon på servicesider - Mens Opera Team har tatt tilstrekkelige skritt for å sikre tjenesteeieren’s kommunikasjon med Opera Unite-servere (ved bruk av proprietær ucp), men kommunikasjonen av tjenestesidebrukere med Opera’s Server er vanlig http, og det er ikke noe valg å bruke https (som om du ikke kan gjøre https://home.infernosec2.operaunite.com/file_sharing/content/). Disse brukerne bruker sensitiv legitimasjon for å logge inn på tjenestene dine og trenger samme type sikkerhet som tjenesteeieren. Det som er mer sjokkerende er at brukerhåndteringssystemet på my.opera.com ikke støtter https. Prøv å besøke https://my.opera.com/

Opera Unite Usikker HTTP-kommunikasjonOpera Unite Usikker HTTP-kommunikasjon

5. Hosting phishing-sider og annet skadelig programvare på Trusted Operaunite.com - Som angriper kan du bruke Opera Unite til å servere phishing-sider og skadelig innhold fra profilen din. Både fildeling og filopplastingstjenester gir tjenesteeierens innhold i nettleseren, noe som gjør brukeren sårbar for phishing og andre skadelige programvareangrep. For eksempel, før jeg serverer noe innhold, phish jeg brukeren til å gi hans eller hennes opera forene legitimasjon. Bruker kan tro at innholdet kommer fra pålitelige operaunite.com og dermed har en stor sannsynlighet for å falle til denne forfalskningen.

Opera Unite nettfisking og hosting av skadelig programvareOpera Unite nettfisking og hosting av skadelig programvare

6. CSRF-en filopplasting fra en pålitelig bruker - La oss si at en pålitelig bruker bruker filopplastingstjenesten din, dvs. han eller hun har gitt legitimasjon for å få tilgang til den. Samtidig, hvis denne brukeren går til min onde side, kan jeg få ham til å laste opp vilkårlige filer til datamaskinen din, og dermed bryte tilliten du har til den brukeren. Hvis tjenesteeieren ved et uhell klikker på den filen, gjengis den i nettleseren (takket være automatisk MIME-type gjenkjenning) og lure din XSS-utførelse. I eksemplet nedenfor har jeg skrevet kode for å stjele passordet ditt for tjenestetilgang. Vær oppmerksom på at denne utnyttelsen krever at din pålitelige bruker får tilgang til tjenesten fra en hvilken som helst nettleser enn Opera siden Opera slipper riktig fra filnavnene. Denne utnyttelsen er ute i løpet av de siste 1,5 årene, men nettlesereleverandørene har ikke noe’Jeg følte ikke behov for å fikse dette (fungerer fortsatt for IE8, Firefox 3.5.2).

01.
02.
03. 04. Innholdstype: tekst / html; ‘>
05.
06.
07.var xhr = ny XMLHttpRequest ();
08.xhr.onreadystatechange = funksjon () {
09.if (xhr.readyState == 4) {
10.if (xhr.status == 200) {
11.var mønster = /<[^>] * unite-aclPassword ”value =” ([^>] *)”>/Jeg;
12.Hvis (pattern.test (xhr.responseText))
1. 3.{
14.alert ("Acl-passordet ditt er:" + RegExp. $ 1);
15.}
16.}
17.}
18.};
19.
20.xhr.open (‘GET’, ‘http://admin.home.infernosec2.operaunite.com/file_uploader/admin/’, sant);
21.xhr.send (null);
22.
23.
24.
25.
26.
27.document.forms [0] .submit ();
28.
29.

Opera Unite CSRF ing en filopplasting på File UploaderOpera Unite CSRF ing en filopplasting på File Uploader

Opera Unite Uploaded File XSS avslører følsomt tilgangspassordOpera Unite Uploaded File XSS avslører følsomt tilgangspassord

7. CSRF-ing en merknad på kjøleskapet - Kjøleskapstjeneste er en ikke-autentisert tjeneste som er ment for folk å legge igjen notater på datamaskinen din. Hvis du slår på denne tjenesten, kan en angriper legge igjen rare nedsettende morsomme notater eller bare fylle køen (standardgrense -24) slik at ingen andre kan legge ut noe. Imidlertid vil han kanskje ikke gjøre det siden ip osv. Hans kanskje blir logget av Opera Servers. Så, den bedre eller mer stealthy måten er å få andre brukere til å gjøre det for ham. Enhver bruker som besøker det onde nettstedet hans, kan bli laget til automatisk å legge ut notater til en hvilken som helst Opera Unite-profil. Dette inkluderer tjenesteeieren i tillegg som kan tvinges til å legge ut noe på datamaskinen hans :):) .

01.
02.
03.
04.
05.
06.
07.
08.
09.document.forms [0] .submit ();
10.
11.

Opera Unite CSRF ing notat på kjøleskapetOpera Unite CSRF ing notat på kjøleskapet

8. CSRF-Ing anyuserid å delta i et chatroom - I likhet med (6) kan du tvinge enhver pålitelig bruker (som allerede er autentisert til chatroomet ditt med et bestemt brukerid) til å være med på nytt med alternative brukernavn. Han eller hun kan ikke tvinges til å legge ut noe (csrf-beskyttelse), men dette kan misbrukes for å forstyrre enhver eksisterende samtale. Jeg har fremdeles vanskelig for å forstå hvorfor noen vil tillate slik funksjonalitet ?

1.
2.
3.
4.
5.
6.document.forms [0] .submit ();
7.
8.

Opera Unite CSRF ing anyfakeid user to join the LoungeOpera Unite CSRF ing anyfakeid user to join the Lounge

9. XSS med unite-session-id-cookien, fungerer for nesten alle tjenester - Det er et XSS-problem i cookien som forener økt-id, hvis verdi blir gjentatt i javascript for http-svar. Jeg vil kalle dette som et lavt alvorlighetsproblem, siden dette angrepet av overskriving av http-overskrifter bare er mulig å gjøre med eldre versjoner av Flash (som 7,8, lavere versjoner av 9) og IE6. Fortsatt en feil selv om :):)

Opera Unite XSS ing unite-session-id cookie ved hjelp av eldre FlashOpera Unite XSS ing unite-session-id cookie ved hjelp av eldre Flash

10. Clickjacking hvilken som helst serviceside - Opera Team har tatt nødvendige skritt for å beskytte tjenesteeier-sidene mot alle typer clickjacking-utnyttelser. De gir imidlertid ingen beskyttelse for servicesidene. Med den gjeldende listen over standardtjenester og operasjoner som er tillatt fra pålitelig bruker, kan jeg ikke tenke på interessante utnyttelser. Et eksempel kan være å klikke på en chatroom-bruker og tvinge ham til å logge av en samtale. Det gjorde jeg ikke’t får mye tid å bruke på dette. Men når flere og flere begynner å skrive sine egne operaenhetstjenester som tillater dynamiske brukerinteraksjoner, vil denne typen beskyttelse definitivt være nødvendig.

11. Inkonsekvens i passordpolitikk for noen tjenester - De fleste operaenhetstjenester er initialisert og beskyttet av et standard 8 eller 9-sifret alfanumerisk passord. Imidlertid er fototjenesten beskyttet av et standard 4-passers passord, som lett kan brytes med brute force (ser ut som om bilder anses som mindre private enn filer). Chatroom er dessuten ikke-autentisert, og selv om du aktiverer passordbeskyttelse, henter det et standardpassord “misligholde”. Så brukerne dine må selv generere et sterkt passord, noe som er svært usannsynlig.

Referanser: -

1. Clickjacking - Jeremiah Grossman og Robert “RSnake” Hansen
http://ha.ckers.org/blog/20081007/clickjacking-details/

2. Smiing av HTTP-forespørselsoverskrifter med flash - Amit Klein
http://www.securityfocus.com/archive/1/441014

3. Å utnytte XSS-sikkerhetsproblemer på informasjonskapsler - Sirdarckcat
http://sirdarckcat.blogspot.com/2008/01/exploiting-xss-vulnerabilities-on.html

4. CSRF-ing filopplastningsfelt - Kuza55
http://kuza55.blogspot.com/2008/02/csrf-ing-file-upload-fields.html

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me