Pwning Opera Unite with Inferno’s Eleven

أوبرا اتحدوا, لدى الإصدار القادم من مستعرض Opera رؤية قوية لتغيير الطريقة التي ننظر بها إلى الويب. بالنسبة لأولئك غير المعروفين بهذه التقنية الجذرية ، فإن ذلك يمد متصفحك إلى مجموعة تعاون كاملة حيث يمكنك الدردشة مع الأشخاص وترك الملاحظات ومشاركة الملفات وتشغيل الوسائط واستضافة مواقعك وما إلى ذلك (Wow !!).


يأتي Opera Unite مزودًا بمجموعة من الخدمات القياسية مثل Fridge (Notes) ، و Lounge (غرف الدردشة) ، وما إلى ذلك. من المهم أن نفهم أن هذه الخدمات لها منظرين متميزين. عرض واحد هو من صاحب الخدمة, الذي يقوم بتثبيت هذه الخدمات وتخصيصها وتشغيلها على جهاز الكمبيوتر الخاص به. صاحب الخدمة والكمبيوتر الذي يشغل هذه الخدمات لهما معرفات مرتبطة. بشكل افتراضي ، اسم الكمبيوتر هو “الصفحة الرئيسية”. لذلك ، صفحتك الرئيسية الإدارية هي http://admin.home.uid.operaunite.com/. تذكر أنه على الرغم من أن بروتوكول الاتصال يشبه http ، فهو ليس كذلك. تنقل Opera كل حركة المرور باستخدام بروتوكول ucp خاص (مشفر) إلى asd.opera.com و auth.opera.com (بدون تفاصيل البروتوكول باستثناء هنا). طريقة العرض الأخرى هي لصفحة الخدمة التي يستخدمها المستخدمون (الأصدقاء ، العملاء ، إلخ) للوصول إلى المحتوى المحدد. يمكن لهؤلاء المستخدمين الموثوق بهم الوصول إلى خدماتك من أي مستعرض (وليس توحد الأوبرا فقط) ويستخدم بروتوكول HTTP العادي. صفحة الخدمة الرئيسية هي http://home.uid.operaunite.com/.

لقد انبهرت بهذه الفكرة ، لذلك قررت إلقاء نظرة على الجوانب الأمنية للمنتج (بينما كان في مرحلة تجريبية). فيما يلي النتائج التي توصلت إليها في أي ترتيب أولوية معين (تم اختباره على 10.00 Beta 3 Build 1703). أنا بما في ذلك PoC في أقسامها. تذكر أن تتغير “الصفحة الرئيسية” مع الكمبيوتر الخاص بك و “infernosec2” مع معرف المستخدم الخاص بك.

1. تعداد أسماء مستخدمي مالك الخدمة - حسنًا ، إذا كنت تريد تنفيذ هجمات مستهدفة ضد مستخدم معين ، فمن السهل القيام بذلك عن طريق تخمين اسم المستخدم الخاص به. عادةً ما تكون أسماء المستخدمين / name name / names.lastname ، إلخ. ومع ذلك ، بالنسبة لهجمات أكثر عمومية ، تعمل Opera Unite على تسهيل مهمتنا من خلال السماح لـ Google بفهرسة مستخدمها’ق الصفحات (شكلي). فيما يلي الإخراج من استعلام بسيط - الموقع: operaunite.com

Pwning Opera Unite with Inferno’s ElevenPwning Opera Unite with Inferno’s Eleven

2. تعداد أسماء الكمبيوتر لمالك خدمة معين - بمجرد تحديد مالك الخدمة المستهدفة ، فإن الخطوة التالية هي تحديد أجهزة الكمبيوتر التي تنتمي إليه. لاحظ أنه من محرك البحث ، قد تحصل فقط على عدد قليل من أسماء أجهزة الكمبيوتر وليس كلها لأن المالك قد اختار عدم فهرسة الأسماء الخاصة. ومع ذلك ، إذا قمت بزيارة صفحة الخدمة الرئيسية مع أي اسم كمبيوتر غير موجود ، فإن Opera Unite تكشف بسعادة عن جميع أسماء أجهزة الكمبيوتر التي يستخدمها هذا الشخص.

أوبرا توحد تعداد أسماء الكمبيوترأوبرا توحد تعداد أسماء الكمبيوتر

3. تعداد عنوان IP الخاص بمالك خادم الخدمة ورقم المنفذ - إذا كنت مالك خدمة وتعتقد أن هويتك مخفية بواسطة خوادم Opera Unite Proxy ، فكر مرة أخرى. يكشف Opera Unite عن عنوان IP الخاص بك ورقم المنفذ لأي مستخدم (حتى غير مصادق) يزور صفحات الخدمة الخاصة بك. لقد اختبرت ذلك للعمل على مشاركة الملفات وخدمات رفع الملفات. ما عليك سوى عرض مصدر: على أي من تلك الصفحات.

Opera Unite Server IP و Port DetlosureOpera Unite Server IP و Port Detlosure

4. اختطاف الاتصال غير الآمن في صفحات الخدمة - بينما اتخذ فريق Opera خطوات كافية لتأمين صاحب الخدمة’التواصل مع Opera Unite Servers (باستخدام الملكية الفكرية ucp) ، ومع ذلك ، فإن التواصل بين مستخدمي صفحة الخدمة مع Opera’خادم s هو http عادي وليس هناك خيار لاستخدام https (كما لا يمكنك القيام به https://home.infernosec2.operaunite.com/file_sharing/content/). يستخدم هؤلاء المستخدمون بيانات اعتماد حساسة لتسجيل الدخول إلى خدماتك ويحتاجون إلى نفس نوع الأمان الذي يتمتع به مالك الخدمة. الأمر الأكثر إثارة للصدمة هو أن نظام إدارة المستخدم في my.opera.com لا يدعم https. حاول زيارة https://my.opera.com/

Opera Unite Insecure HTTP CommunicationOpera Unite Insecure HTTP Communication

5. استضافة صفحات الخداع والبرامج الضارة الأخرى على Trusted Operaunite.com - كمهاجم ، يمكنك استخدام Opera Unite لخدمة صفحات التصيّد ومحتوى البرامج الضارة من ملفك الشخصي. تعمل كل من مشاركة الملفات وخدمات رفع الملفات على تقديم محتوى مالك الخدمة داخل المتصفح ، مما يجعل المستخدم عرضة للتصيد وهجمات البرامج الضارة الأخرى. على سبيل المثال ، قبل عرض بعض المحتويات ، أخدع المستخدم لتوفير أوبرا توحيد بيانات الاعتماد الخاصة به. قد يظن المستخدم أن المحتوى قادم من موقع operaunite.com الموثوق به ، وبالتالي فإن هناك احتمالية كبيرة للسقوط إلى هذا محاكاة ساخرة.

أوبرا توحد الخداع والبرمجيات الخبيثة استضافة صفحاتأوبرا توحد الخداع والبرمجيات الخبيثة استضافة صفحات

6. تحميل ملف CSRF من مستخدم موثوق - لنفترض أن مستخدمًا موثوقًا يستخدم خدمة تحميل الملفات ، أي أنه قدم بيانات اعتماد للوصول إليها. في الوقت نفسه ، إذا ذهب هذا المستخدم إلى موقعي الشرير ، يمكنني أن أجعله يحمّل ملفات تعسفية على جهاز الكمبيوتر الخاص بك ، وبالتالي كسر الثقة التي لديك في هذا المستخدم. إذا نقر مالك الخدمة على هذا الملف بطريق الخطأ ، فسيتم عرضه داخل المستعرض (بفضل الكشف التلقائي عن نوع MIME) وينفِّذ تنفيذ XSS. في المثال أدناه ، كتبت رمزًا لسرقة كلمة مرور الوصول إلى الخدمة. يرجى ملاحظة أن هذا الاستغلال يتطلب أن يقوم المستخدم الموثوق به بالوصول إلى الخدمة من أي متصفح آخر غير Opera لأن Opera يفلت من أسماء الملفات بشكل صحيح. لقد انتهى هذا الاستغلال خلال السنوات الخمس ونصف الماضية ، لكن بائعي المستعرضات لديهم ملاذ آمن’شعرت بالحاجة إلى إصلاح هذا (لا يزال يعمل مع IE8 و Firefox 3.5.2).

01.
02.
03. 04.Content-Type: text / html؛ '>
05.
06.
07.var xhr = new XMLHttpRequest ()؛
08.xhr.onreadystatechange = function () {
09.if (xhr.readyState == 4) {
10. إذا (xhr.status == 200) {
1 1. نمط مختلف = /<[^>] * اتحد aclPassword "value =" ([^>] *) ">/أنا؛
12.if (pattern.test (xhr.responseText))
13. {
14.alert ("كلمة المرور الخاصة بك هي: + + RegExp. $ 1) ؛
15.}
16.}
17.}
18.}؛
19.
20.xhr.open (‘GET’ ، ‘http://admin.home.infernosec2.operaunite.com/file_uploader/admin/’ ، صحيح) ؛
21.xhr.send (خالية)؛
22.
23.
24.
25.
26.
27.document.forms [0] .submit ()؛
28.
29.

أوبرا توحد CSRF جي تحميل ملف على File Uploaderأوبرا توحد CSRF جي تحميل ملف على File Uploader

يكشف ملف أوبرا Unite Uploaded File XSS عن كلمة مرور الوصول الحساسةيكشف ملف أوبرا Unite Uploaded File XSS عن كلمة مرور الوصول الحساسة

7. CSRF- جي ملاحظة على الثلاجة - خدمة الثلاجة هي خدمة غير مصادقة مخصصة للأشخاص لترك الملاحظات على جهاز الكمبيوتر الخاص بك. إذا قمت بتشغيل هذه الخدمة ، فيمكن للمهاجم ترك ملاحظات ممتعة مهينة غريبة أو مجرد ملء قائمة الانتظار (الحد الافتراضي -24) بحيث لا يستطيع أي شخص آخر نشر أي شيء. ومع ذلك ، قد لا يرغب في القيام بذلك نظرًا لأن IP الخاص به وما إلى ذلك قد يتم تسجيله بواسطة خوادم Opera. لذلك ، فإن الطريقة الأفضل أو الأكثر خلسة هي جعل المستخدمين الآخرين يقومون بذلك من أجله. يمكن جعل أي مستخدم يزور موقعه الشرير لنشر الملاحظات تلقائيًا إلى أي ملف تعريف للأوبرا الموحدة. يشمل ذلك صاحب الخدمة الذي يمكن إجباره على نشر شيء ما على جهاز الكمبيوتر الخاص به :):) .

01.
02.
03.
04.
05.
06.
07.
08.
09.document.forms [0] .submit ()؛
10.
11.

أوبرا توحد CSRF جي ملاحظة على الثلاجةأوبرا توحد CSRF جي ملاحظة على الثلاجة

8. CSRF-Ing anyuserid للانضمام إلى غرفة دردشة - على غرار (6) ، يمكنك إجبار أي مستخدم موثوق (الذي تمت مصادقته بالفعل على غرفة الدردشة الخاصة بك باستخدام معرف مستخدم معين) للانضمام بأسماء مستخدم بديلة. لا يمكن إجباره على نشر أي شيء (حماية csrf) ، ومع ذلك ، يمكن إساءة استخدام هذا لتعطيل أي محادثة حالية. لا يزال لدي صعوبة في فهم سبب رغبة أي شخص في السماح بهذه الوظيفة ?

1.
2.
3.
4.
5.
6.document.forms [0] .submit ()؛
7.
8.

Opera Unite CSRF ing anyfakeid user to join the LoungeOpera Unite CSRF ing anyfakeid user to join the Lounge

9. XSS ing ملف تعريف الارتباط unite-session-id ، يعمل مع جميع الخدمات تقريبًا - هناك مشكلة في XSS في ملف تعريف الارتباط unite-session-id ، حيث يتم تكرار قيمتها في جافا سكريبت استجابة http. أود أن أسمي هذا كمشكلة منخفضة الخطورة لأن هذا الهجوم على الكتابة فوق رؤوس http ممكن فقط في الإصدارات القديمة من Flash (مثل 7،8 والإصدارات الأقل من 9) و IE6. لا يزال خطأ على الرغم من :):)

Opera Unite XSS جي ملف تعريف الارتباط unite-session-id باستخدام Flash الأقدمOpera Unite XSS جي ملف تعريف الارتباط unite-session-id باستخدام Flash الأقدم

10. Clickjacking أي صفحة خدمة - اتخذ فريق Opera الخطوات اللازمة لحماية صفحات مالك الخدمة من أي نوع من عمليات استغلال النقر. ومع ذلك ، فإنها لا توفر أي حماية لصفحات الخدمة. مع القائمة الحالية للخدمات والعمليات الافتراضية المسموح بها من مستخدم موثوق ، لا يمكنني التفكير في عمليات استغلال مثيرة للاهتمام. أحد الأمثلة على ذلك هو النقر فوق مستخدم غرف الدردشة وإجباره على تسجيل محادثة. أنا لم’ر الحصول على الكثير من الوقت لقضاء على هذا. ولكن عندما يبدأ المزيد والمزيد من الأشخاص في كتابة خدمات الأوبرا الخاصة بهم التي تسمح بتفاعلات المستخدم الديناميكية ، فإن هذا النوع من الحماية سيكون بالتأكيد مطلوبًا.

11. عدم الاتساق في سياسة كلمة المرور لبعض الخدمات - تتم تهيئة معظم خدمات الأوبرا الموحدة وحمايتها بكلمة مرور افتراضية مكونة من 8 أو 9 أرقام. ومع ذلك ، فإن خدمة الصور محمية بكلمة مرور 4 أحرف افتراضية ، والتي يمكن كسرها بسهولة باستخدام القوة الغاشمة (تبدو الصور أقل خصوصية من الملفات). وأيضًا أن غرفة الدردشة غير مصادق عليها ، وحتى إذا قمت بتمكين حماية كلمة المرور ، فإنها تلتقط كلمة مرور افتراضية “إفتراضي”. لذلك ، سيتعين على المستخدمين إنشاء كلمة مرور قوية بأنفسهم ، وهو أمر مستبعد جدًا.

المراجع :-

1. Clickjacking - إرميا جروسمان وروبرت “RSnake” هانسن
http://ha.ckers.org/blog/20081007/clickjacking-details/

2. تزوير رؤوس طلبات HTTP باستخدام Flash - Amit Klein
http://www.securityfocus.com/archive/1/441014

3. استغلال نقاط الضعف XSS على ملفات تعريف الارتباط - Sirdarckcat
http://sirdarckcat.blogspot.com/2008/01/exploiting-xss-vulnerabilities-on.html

4. CSRF- جي حقول تحميل الملفات - Kuza55
http://kuza55.blogspot.com/2008/02/csrf-ing-file-upload-fields.html

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me