Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

10.000$-t ért a XSS

2009.06.05. 00:41 | buherator | 7 komment

Nem rég indult egy új webes e-mail szolgáltatás StrongWebmail néven, amely kétlépcsős autentikációval és korai figyelmeztetésekkel igyekszik garantálni felhasználó biztonságát. A vállalkozás 10.000$-t ajánlott fel annak, aki képes az ügyvezető igazgató (szintén a rnedszerben regisztrált) e-mail fiókját feltörni, pontosabban a fiókhoz tartozó naptárba egy találkozó időpontot felvenni.

Ehhez ráadásul az igazgató felhasználóneve és jelszava is rendelkezésre állt, a problémát (legalábbis a készítők szándékai szerint) egy SMS-ben kiküldött, egyszer használatos PIN kód megszerzése jelentette volna.

Aviv Raff, Lance James és Mike Bailey azonban kicsit más irányból közelítették meg a problémát, és kamu bázisállomások építése, vagy a GSM szolgáltató rendszerének komprommitálása helyett egyszerűen egy speciálisan "megfogalmazott", XSS sebezhetőséget kihasználó levelet küldtek a CEO-nak. Az igazgató nyilatkozata szerint a bejegyzés a levél megnyitása után létre is jött, tehát a kutatók elvileg jogosultak a díjra, bár hivatalos állásfoglalás ezzel kapcsolatban a cég részéről egyelőre nem érkezett.

XSS sebezhetőségekkel tele van a web, az ilyen problémák annyira gyakoriak, hogy őszintén szólva már én sem szívesen fogalalkozom velük. Ez az eset ugyanakkor jól példázza, hogy egy támadás erejét sokszor nem a kihasznált biztonsági hiba minősége, hanem sokkal inkább a támadó által kellő gonddal összeállított körítés határozza meg.

Címkék: kihívás xss strongwebmail

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2009.06.05. 09:23:58

Gondolom akkor ez nem csak XSS, hanem CSRF is volt egyben...

buherator · http://buhera.blog.hu 2009.06.05. 10:03:01

@zoli20: CSRF esetén általában egy a célponttól különböző oldalról kényszerítünk kérést a célpont alkalmazás hosztja felé, de szerintem kár definiciókon vitatkozni.

|Z| 2009.06.07. 09:46:34

@buherator:
Kezdjük előlről :)
A hackerek megszerezték a naptárbejegyzés részleteit (és nem naptárbejegyzést kellett létrehozni, mint azt sok helyen tévesen közölték), ezért igen, XSS is volt.

Célponttól különböző oldal = outlookban megnyitott html alapú email. És ha lett volna alapvető CSRF elleni védelem a webmailben (pl. GET paramétereket nem olvas az alkalmazás vagy minden belső link tartalmaz egy plusz véletlen változót, majd ezt ellenőrzi minden híváskor vagy minden akciót még1* jóváhagyat a felhasználóval), akkor nem működött volna a támadás sem. Szerintem abban is egyetértünk, hogy XSS és CSRF között a határ néha elmosódik, definíciótól függetlenül :)

A Strongwebmail meg elmehet a sunyiba, hogy nem akar fizetni, csak azért mert máshogy tolták meg a rendszerüket, mint várták :)

buherator · http://buhera.blog.hu 2009.06.07. 16:15:05

@zoli20:
Akkor kérlek oszd meg a forrásaidat, mert én Outlookról sehol nem olvastam - amennyiben tényleg Outlookból nézte az üzenetet a CEO, nyilván nálad a pont. A ZDNet-en használt "record" kifejezés pedig engem is megtévesztett, de igazad van, az eredeti kiírásban megszerzésről és nem létrehozásról írnak.

|Z| 2009.06.07. 17:17:20

Az outlook csak példa volt, viszont az is igaz, hogy rossz példa, mert ha a strongwebmail webes felületét használta, akkor a csrf már kevésbé helytálló :) De az továbbra is igaz szerintem, hogy bármelyik csrf elleni védelem megakadályozta volna a támadást.

buherator · http://buhera.blog.hu 2009.06.07. 17:35:12

@zoli20:
Nyilván egy csomó dolog befolyásolja egy ilyen támadás kivitelezhetőségét, de onnantól kezdve, hogy az adott domainen szkriptelhetsz, már nem sokat érsz az anti-CSRF technikákkal: lenyúlod a sütit és legegyszerűbb esetben kézzel meg tudsz csinálni bármit. Sőt, mivel ugyanazon a domainen futsz, amihez hozzá akarsz férni, a same-origin policy sem akadályoz.

|Z| 2009.06.07. 22:09:06

Befejeztem az okoskodást, bizonyára sima sütilenyúlós xss volt :) megyek inkább birkákat toszogatni, az jobban megy :)