Το Pwning Opera συγχωνεύεται με τα έντεκα του Inferno

Opera Unite, η επερχόμενη έκδοση του προγράμματος περιήγησης Opera έχει ένα ισχυρό όραμα για να αλλάξουμε τον τρόπο με τον οποίο βλέπουμε τον ιστό. Για όσους είναι άγνωστοι σε αυτήν την ριζοσπαστική τεχνολογία, επεκτείνει το πρόγραμμα περιήγησης σε μια πλήρης σουίτα συνεργασίας, όπου μπορείτε να συνομιλείτε με ανθρώπους, να αφήνετε σημειώσεις, να μοιράζεστε αρχεία, να παίζετε πολυμέσα, να φιλοξενείτε τους ιστότοπούς σας κ.λπ..


Το Opera Unite συνοδεύεται από μια σειρά από βασικές υπηρεσίες όπως το ψυγείο, το σαλόνι (chatroom) κλπ. Είναι σημαντικό να κατανοήσουμε ότι αυτές οι υπηρεσίες έχουν δύο διαφορετικές απόψεις. Μια άποψη είναι η Ιδιοκτήτης Υπηρεσίας, ο οποίος εγκαθιστά, προσαρμόζει και εκτελεί αυτές τις υπηρεσίες στον υπολογιστή του. Ο κάτοχος της υπηρεσίας και ο υπολογιστής που εκτελεί αυτές τις υπηρεσίες έχουν συσχετισμένα αναγνωριστικά. Από προεπιλογή, το όνομα του υπολογιστή είναι “Σπίτι”. Έτσι, η αρχική σελίδα του διαχειριστή είναι http://admin.home.uid.operaunite.com/. Θυμηθείτε ότι αν και το πρωτόκολλο επικοινωνίας μοιάζει με http, δεν είναι. Η όπερα μεταδίδει όλη την κίνηση χρησιμοποιώντας ένα ιδιόκτητο πρωτόκολλο ucp (κρυπτογραφημένο) στο asd.opera.com και στο auth.opera.com (δεν υπάρχουν λεπτομέρειες πρωτοκόλλου εκτός από εδώ). Η άλλη προβολή αφορά τη σελίδα υπηρεσιών που χρησιμοποιείται από τους χρήστες σας (φίλους, πελάτες κ.λπ.) για να αποκτήσετε πρόσβαση στο επιλεγμένο περιεχόμενο. Αυτοί οι αξιόπιστοι χρήστες μπορούν να έχουν πρόσβαση στις υπηρεσίες σας από οποιοδήποτε πρόγραμμα περιήγησης (όχι μόνο το όνομά τους) και χρησιμοποιούν το απλό πρωτόκολλο http. Η αρχική σελίδα της υπηρεσίας είναι http://home.uid.operaunite.com/.

Με εντυπωσίασε αυτή η ιδέα, γι 'αυτό αποφάσισα να εξετάσω τις πτυχές ασφαλείας του προϊόντος (ενώ βρισκόταν σε beta). Εδώ είναι τα ευρήματά μου χωρίς ιδιαίτερη σειρά προτεραιότητας (δοκιμασμένο σε 10.00 Beta 3 Κατασκευάστηκε 1703). Συμπεριλαμβάνω το PoC στις αντίστοιχες ενότητες. Θυμηθείτε να αλλάξετε “Σπίτι” με το ηλεκτρονικό σας και το “infernosec2” με το userid σας.

1. Αρίθμηση χρηστών ιδιοτήτων υπηρεσιών - Λοιπόν, εάν θέλετε να πραγματοποιήσετε στοχοθετημένες επιθέσεις εναντίον ενός συγκεκριμένου χρήστη, είναι ευκολότερο να το κάνετε υποθέτοντας το όνομα χρήστη του. Τα ονόματα χρηστών είναι γενικά όνομα / επώνυμο / όνομα_χρήστη, όνομα κλπ. Ωστόσο, για πιο γενικές επιθέσεις, το Opera Unite διευκολύνει το έργο μας, επιτρέποντας στην Google να ευρετηριάζει τον χρήστη’(με δυνατότητα ρύθμισης). Εδώ είναι το αποτέλεσμα από ένα απλό ερώτημα - site: operaunite.com

Το Pwning Opera συγχωνεύεται με τα έντεκα του InfernoΤο Pwning Opera συγχωνεύεται με τα έντεκα του Inferno

2. Απαριθμήστε τα ονόματα των υπολογιστών για έναν συγκεκριμένο κύριο της υπηρεσίας - Μόλις αποφασίσετε για τον ιδιοκτήτη της υπηρεσίας προορισμού σας, το επόμενο βήμα είναι να προσδιορίσετε ποιοι υπολογιστές ανήκουν σε αυτόν. Σημειώστε ότι από τη μηχανή αναζήτησης, μπορείτε να πάρετε μόνο λίγα ονόματα ηλεκτρονικών υπολογιστών και όχι όλα, δεδομένου ότι ο ιδιοκτήτης μπορεί να έχει επιλέξει να μην δείξει τα ιδιωτικά. Ωστόσο, εάν επισκεφθείτε την αρχική σελίδα της υπηρεσίας με οποιοδήποτε μη υπάρχον όνομα υπολογιστή, τότε η Opera Unite αποκαλύπτει ευτυχώς όλα τα ονόματα ηλεκτρονικών υπολογιστών που χρησιμοποιεί το συγκεκριμένο άτομο.

Καταμέτρηση Ονομάτων Υπολογιστών Opera UniteΚαταμέτρηση Ονομάτων Υπολογιστών Opera Unite

3. Αρίθμηση ιδιοκτήτη υπηρεσίας Διεύθυνση IP διακομιστή και αριθμός θύρας - Αν είστε ιδιοκτήτης υπηρεσίας και νομίζετε ότι η ταυτότητά σας είναι καλυμμένη από τους διακομιστές Proxy Proxy Servers, σκεφτείτε ξανά. Το Opera Unite αποκαλύπτει τη διεύθυνση IP και τον αριθμό θύρας σε οποιονδήποτε χρήστη (ακόμη και χωρίς έλεγχο ταυτότητας) που επισκέπτεται τις σελίδες υπηρεσιών σας. Έχω δοκιμάσει αυτό για να δουλέψει σε υπηρεσίες File Sharing και File Uploader Services. Απλά κάντε μια πηγή προβολής: σε οποιαδήποτε από αυτές τις σελίδες.

Opera Unite Server IP και Λιμάνι ΑποκάλυψηOpera Unite Server IP και Λιμάνι Αποκάλυψη

4. Κλοπή ανασφαλούς επικοινωνίας σε σελίδες υπηρεσιών - Ενώ η ομάδα της Όπερας έχει λάβει τα κατάλληλα μέτρα για να εξασφαλίσει τον Ιδιοκτήτη Υπηρεσιών’με την επικοινωνία με τους Servers Servers (με ιδιόκτητο ucp), ωστόσο, η επικοινωνία των χρηστών της σελίδας υπηρεσιών με την Opera’s Server είναι απλό http και δεν υπάρχει επιλογή να χρησιμοποιήσετε το https (όπως δεν μπορείτε να κάνετε https://home.infernosec2.operaunite.com/file_sharing/content/). Αυτοί οι χρήστες χρησιμοποιούν ευαίσθητα διαπιστευτήρια για να συνδεθούν στις υπηρεσίες σας και χρειάζονται την ίδια ασφάλεια με τον ιδιοκτήτη της υπηρεσίας. Το πιο συγκλονιστικό είναι ότι το σύστημα διαχείρισης χρηστών στο my.opera.com δεν υποστηρίζει το https. Δοκιμάστε να επισκεφτείτε τη διεύθυνση https://my.opera.com/

Opera Unite Ενώστε την επικοινωνία HTTPOpera Unite Ενώστε την επικοινωνία HTTP

5. Φιλοξενία σελίδων ηλεκτρονικού "ψαρέματος" (Phishing Pages) και άλλων κακόβουλων προγραμμάτων σε αξιόπιστα Operaunite.com Ως εισβολέας, μπορείτε να χρησιμοποιήσετε το Opera Unite για να προβάλλετε σελίδες ηλεκτρονικού "ψαρέματος" και περιεχόμενο κακόβουλου λογισμικού από το προφίλ σας. Τόσο οι υπηρεσίες κοινής χρήσης αρχείων όσο και οι υπηρεσίες μεταφόρτωσης αρχείων καθιστούν το περιεχόμενο του κατόχου της υπηρεσίας στο εσωτερικό του προγράμματος περιήγησης, αφήνοντας τον χρήστη ευάλωτο σε phishing και άλλες επιθέσεις κακόβουλου λογισμικού. Για παράδειγμα, πριν από την προβολή κάποιου περιεχομένου, παρακαλώ τον χρήστη να παράσχει τα διαπιστευτήρια του. Ο χρήστης μπορεί να πιστεύει ότι το περιεχόμενο προέρχεται από την αξιόπιστη εταιρεία operaunite.com και ως εκ τούτου έχει μεγάλη πιθανότητα να πέσει σε αυτή την spoof.

Φιλοξενία Phishing και κακόβουλων προγραμμάτων Opera UniteΦιλοξενία Phishing και κακόβουλων προγραμμάτων Opera Unite

6. CSRF-εισαγωγή αρχείου από αξιόπιστο χρήστη - Ας πούμε ότι ένας αξιόπιστος χρήστης χρησιμοποιεί την υπηρεσία μεταφόρτωσης αρχείων, δηλ. Έχει παράσχει διαπιστευτήρια για να έχει πρόσβαση σε αυτόν. Την ίδια στιγμή, αν ο χρήστης πηγαίνει στην κακή τοποθεσία μου, μπορώ να τον κάνω να φορτώσει αυθαίρετα αρχεία στον υπολογιστή σας, καταργώντας έτσι την εμπιστοσύνη που έχετε σε αυτόν τον χρήστη. Αν ο κάτοχος της υπηρεσίας κάνει λάθος κλικ σε αυτό το αρχείο, εμφανίζεται στο εσωτερικό του προγράμματος περιήγησης (χάρη στην αυτόματη ανίχνευση τύπου MIME) και εκτελέσει το XSf σας. Στο παρακάτω παράδειγμα, έχω γράψει κώδικα για να κλέψει τον κωδικό πρόσβασής σας στην υπηρεσία. Λάβετε υπόψη ότι αυτή η εκμετάλλευση απαιτεί ότι ο αξιόπιστος χρήστης σας έχει πρόσβαση στην υπηρεσία από οποιοδήποτε πρόγραμμα περιήγησης εκτός από την Opera, καθώς η Opera αποκαλύπτει σωστά τα ονόματα αρχείων. Αυτό το εκμεταλλεύεται έξω για τα τελευταία 1,5 χρόνια, αλλά οι πωλητές του φυλλομετρητή καταφεύγουν’δεν αισθάνθηκε την ανάγκη να διορθωθεί αυτό (εξακολουθεί να λειτουργεί για IE8, Firefox 3.5.2).

01.
02.
03. 04. Τύπος περιεχομένου: κείμενο / html; '>
05.
06.
07.var xhr = νέα XMLHttpRequest ();
08.xhr.onreadystatechange = λειτουργία () {
09.if (xhr.readyState == 4) {
10.if (xhr.status == 200) {
11.var pattern = /<[^>] * unite-aclPassword "τιμή =" ([^>] *) ">/Εγώ;
12.if (pattern.test (xhr.responseText))
13. {
14.alert ("Ο κωδικός πρόσβασής σας είναι:" + RegExp $ 1);
15.}
16.}
17.}
18.}.
19.
20.xhr.open ('GET', 'http://admin.home.infernosec2.operaunite.com/file_uploader/admin/', true);
21.xhr.send (null);
22.
23.
24.
25.
26.
27.document.forms [0]. Υποβολή ();
28.
29.

Opera Unite CSRF για την αποστολή ενός αρχείου στο Uploader αρχείωνOpera Unite CSRF για την αποστολή ενός αρχείου στο Uploader αρχείων

Το Μεταφορτωμένο αρχείο του Opera Unite XSS αποκαλύπτει τον ευαίσθητο κωδικό πρόσβασηςΤο Μεταφορτωμένο αρχείο του Opera Unite XSS αποκαλύπτει τον ευαίσθητο κωδικό πρόσβασης

7. CSRF-σημείωση στο ψυγείο - Η υπηρεσία ψυγείου είναι μια υπηρεσία χωρίς έλεγχο ταυτότητας που προορίζεται για τους ανθρώπους να αφήνουν σημειώσεις στον υπολογιστή σας. Εάν ενεργοποιήσετε αυτήν την υπηρεσία, ένας εισβολέας μπορεί να αφήσει παράξενες υποτιμητικές σημειώσεις διασκέδασης ή απλά να γεμίσει την ουρά (προεπιλεγμένο όριο -24) έτσι ώστε κανένας άλλος να μην μπορεί να δημοσιεύσει τίποτα. Ωστόσο, ίσως να μην το θέλει να το κάνει από τότε που το ip ip κτλ μπορεί να καταγραφεί από τους Servers Servers. Έτσι, ο καλύτερος ή πιο μυστικός τρόπος είναι να κάνουν οι άλλοι χρήστες να το κάνουν γι 'αυτόν. Οποιοσδήποτε χρήστης επισκέπτεται τον κακό ιστότοπό του μπορεί να γίνει για να δημοσιεύσει αυτόματα σημειώσεις σε οποιοδήποτε προφίλ του Opera Unite. Αυτό περιλαμβάνει και τον ιδιοκτήτη της υπηρεσίας που μπορεί να αναγκαστεί να δημοσιεύσει κάτι στον υπολογιστή του :):) .

01.
02.
03.
04.
05.
06.
07.
08.
09.document.forms [0]. Υποβολή ();
10.
11.

Opera Unite CSRF Σημείωση για το ΨυγείοOpera Unite CSRF Σημείωση για το Ψυγείο

8. CSRF-Ing anyuserid να συμμετάσχει σε μια αίθουσα συζήτησης - Παρόμοια με το (6), μπορείτε να αναγκάσετε οποιονδήποτε αξιόπιστο χρήστη (ο οποίος έχει ήδη πιστοποιηθεί στην αίθουσα συνομιλίας σας με ένα συγκεκριμένο χρήστη) να επανασυνδεθεί με εναλλακτικά ονόματα χρηστών. Δεν μπορεί να αναγκαστεί να τοποθετήσει οτιδήποτε (προστασία csrf), ωστόσο, αυτό μπορεί να καταχραστεί να διακόψει οποιαδήποτε υπάρχουσα συζήτηση. Εξακολουθώ να δυσκολεύομαι να καταλάβω γιατί κάποιος θέλει να επιτρέψει τέτοια λειτουργικότητα ?

1.
2.
3.
4.
5.
6.document.forms [0] .submit ();
7.
8.

Opera Unite CSRF σε οποιονδήποτε χρήστη να συμμετάσχει στο LoungeOpera Unite CSRF σε οποιονδήποτε χρήστη να συμμετάσχει στο Lounge

9. Το XSS με το cookie ταυτότητας ενιαίας σύνδεσης, λειτουργεί για όλες σχεδόν τις υπηρεσίες - Υπάρχει ένα ζήτημα XSS στο cookie id id-unity session, του οποίου η τιμή παίρνει echoed στο javascript της απάντησης http. Θα το ονομάζαμε ως θέμα χαμηλής σοβαρότητας, καθώς αυτή η επίθεση της αντικατάστασης κεφαλίδων HTTP είναι δυνατή μόνο με παλαιότερες εκδόσεις του Flash (όπως 7,8, χαμηλότερες εκδόσεις του 9) και IE6. Ακόμα ένα σφάλμα όμως :):)

Το Opera Unite XSS με το cookie id-session που χρησιμοποιεί παλαιότερο FlashΤο Opera Unite XSS με το cookie id-session που χρησιμοποιεί παλαιότερο Flash

10. Clickjacking οποιαδήποτε σελίδα εξυπηρέτησης - Η ομάδα της Όπερας έχει λάβει τα απαραίτητα μέτρα για να προστατεύσει τις σελίδες του ιδιοκτήτη της υπηρεσίας από οποιοδήποτε είδος εκμετάλλευσης clickjacking. Ωστόσο, δεν παρέχουν προστασία για τις σελίδες υπηρεσιών. Με την τρέχουσα λίστα με προεπιλεγμένες υπηρεσίες και λειτουργίες που επιτρέπονται από αξιόπιστους χρήστες, δεν μπορώ να σκεφτώ ενδιαφέρουσες εκμεταλλεύσεις. Ένα παράδειγμα μπορεί να είναι να κάνει κλικ σε έναν χρήστη του chatroom και να τον αναγκάσει να αποσυνδεθεί μια συνομιλία. εγώ δεν’t να πάρετε πολύ χρόνο για να περάσετε σε αυτό. Αλλά όταν όλο και περισσότεροι άνθρωποι αρχίζουν να γράφουν τις δικές τους υπηρεσίες ενοποιημένης όπερας που επιτρέπουν δυναμικές αλληλεπιδράσεις χρηστών, αυτός ο τύπος προστασίας σίγουρα θα απαιτηθεί.

11. Ανακολουθία στην πολιτική κωδικού πρόσβασης για ορισμένες υπηρεσίες - Οι περισσότερες υπηρεσίες ενοποιημένης υπηρεσίας αρχικοποιούνται και προστατεύονται από προεπιλεγμένο αλφαριθμητικό κωδικό πρόσβασης 8 ή 9 ψηφίων. Ωστόσο, η υπηρεσία φωτογραφιών προστατεύεται από έναν προεπιλεγμένο κωδικό πρόσβασης 4 χαρακτήρων, ο οποίος μπορεί εύκολα να σπάσει με βίαιη δύναμη (οι φωτογραφίες θεωρούνται λιγότερο ιδιωτικές από τα αρχεία). Επίσης, το chatroom είναι εκτός πλαισίου χωρίς έλεγχο ταυτότητας και ακόμα και αν ενεργοποιήσετε την προστασία με κωδικό πρόσβασης, παίρνει έναν προεπιλεγμένο κωδικό πρόσβασης “Προκαθορισμένο”. Έτσι, οι χρήστες σας θα πρέπει να δημιουργήσουν έναν ισχυρό κωδικό πρόσβασης οι ίδιοι, πράγμα που είναι εξαιρετικά απίθανο.

Βιβλιογραφικές αναφορές :-

1. Clickjacking - Jeremiah Grossman και Robert “RSnake” Hansen
http://ha.ckers.org/blog/20081007/clickjacking-details/

2. Δημιουργία κεφαλίδων αιτήματος HTTP με Flash - Amit Klein
http://www.securityfocus.com/archive/1/441014

3. Αξιοποίηση ευπάθειας XSS σε cookies - Sirdarckcat
http://sirdarckcat.blogspot.com/2008/01/exploiting-xss-vulnerabilities-on.html

4. Πεδία ανίχνευσης αρχείων CSRF - Kuza55
http://kuza55.blogspot.com/2008/02/csrf-ing-file-upload-fields.html

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me