Minggu, 05 Juni 2011

Bypass dapat dari server cache, Periksa yang mengunjungi profil Anda!






RingkasanMari saya jelaskan lubang keamanan di Facebook dalam kaitannya dengan server cache mereka, yang membentuk suatu lapisan antara internet dan internal konten multimedia (foto dan video upload). Putusan ini, memungkinkan akses ke browser meminta baku dari teman-teman kita, sehingga informasi pribadi orang-orang ini (web-bug), atau digunakan sebagai jembatan untuk mengambil keuntungan dari kerentanan eksternal lainnya (CSRF).Facebook dan lapisan menengahSering kali Anda telah melihat hal ini "menggunakan aplikasi ini dan mencari tahu orang yang mengunjungi profil Anda, kanan, Nah, ini akan selalu palsu,? karena dapat dirancang dengan cara yang membuat tidak mungkin. Jika Anda melihat, ketika Anda naik foto seperti profil, itu diubah ukurannya, dikompres, dan disimpan di server sendiri agar itu Sebenarnya, ada ratusan server, yang membentuk apa yang disebut CDN Contoh foto profil..:

    
http://profile.ak. fb .net/hprofile-ak-snc4/41513_1381714233_4208850_q.jpg CDN
Jika Anda pergi ke account Facebook Anda, Anda melihat kode sumber (Ctrl + U di Firefox), dan mencari urutan `fbcdn 'akan penuh. Dan kasih karunia ini. Bagaimana jika Anda menggunakan program seperti 'Tamper Data', Anda akan melihat bahwa semua permintaan there.Nothing pergi keluar.Pertanyaannya adalah: Mengapa? Karena itu, Facebook akan menghemat banyak masalah keamanan (termasuk privasi), mendapatkan kontrol penuh atas yang pergi dan di mana ia pergi (data mining). Ini bukan biaya nol ke Facebook, tapi itu benar-benar sangat mahal secara finansial.Perhatikan bahwa ini bukanlah satu-satunya yang harus dilakukan. Tuenti, misalnya, juga memiliki CRC nya sendiri.ProsesTujuannya adalah untuk mendapatkan link langsung ke luar tanpa melalui saringan internal.Pertama, membuat catatan baru. Isi harus setidaknya kode berikut:

  
<img src="http://[dirección]" />
Setelah catatan dibuat, Anda dapat memilih siapa adalah target ini. Hal ini sangat penting karena akan sangat penting untuk memimpin serangan ke orang tertentu atau kelompok:Setelah dibuat, jika kita melihat kode sumber, kita dapat melihat bahwa telah dibuat di bawah arahan dari CRC:

:
Sekarang kita bisa pergi ke dinding kita, yang telah menciptakan auto-posting baru, dan menghapusnya. Tidak ada gunanya. Apa yang perlu anda lakukan adalah berbagi catatan secara manual. Kita juga harus memilih dengan siapa kita berbagi, seperti yang kita lakukan saat membuat itu. Perbaiki dalam kode yang direplikasi.
Ini dikirim kode ini mentah, tidak replika dibuat jika gambar atau video upload dengan cara yang khas, yang sekarang tertanam. Facebook adalah waspada terhadap gambar yang masuk melalui catatan bagian, adalah "up", tidak eksternal, jadi jangan meletakkan jaminan tambahan.
Hasilnya adalah seperti yang diharapkan:
Kegunaan Saya lihat 2 vektor serangan, namun imajinasi kekuasaan.
1) Ambil data melalui bug-web. Apakah untuk menempatkan server Anda sendiri file dinamis yang berisi informasi (waktu, ip, user_agent, referer, ...), tetapi menyamar sebagai gambar. Berikut datang kekuasaan set (bisa) agar sehingga hanya meninggalkan gambar di dinding Anda, yang memungkinkan untuk menghitung berapa banyak pengunjung Anda memiliki (woo!).
Saya telah melakukan bukti dari konsep di tingkat teman-teman, dan ada banyak contoh surfing melalui Facebook Mobile, yang penasaran:
Sekarang kita bisa pergi ke dinding kita, yang telah menciptakan auto-posting baru, dan menghapusnya. Tidak ada gunanya. Apa yang perlu anda lakukan adalah berbagi catatan secara manual. Kita juga harus memilih dengan siapa kita berbagi, seperti yang kita lakukan saat membuat itu. Perbaiki dalam kode yang direplikasi.

Ini dikirim kode ini mentah, tidak replika dibuat jika gambar atau video upload dengan cara yang khas, yang sekarang tertanam.
Facebook adalah waspada terhadap gambar yang masuk melalui catatan bagian, adalah "up", tidak eksternal, jadi jangan meletakkan jaminan tambahan.
Hasilnya adalah seperti yang diharapkan:

Kegunaan
Saya lihat 2 vektor serangan, namun imajinasi kekuasaan. 1) Ambil data melalui bug-web. Apakah untuk menempatkan server Anda sendiri file dinamis yang berisi informasi (waktu, ip, user_agent, referer, ...), tetapi menyamar sebagai gambar. Berikut datang kekuasaan set (bisa) agar sehingga hanya meninggalkan gambar di dinding Anda, yang memungkinkan untuk menghitung berapa banyak pengunjung Anda memiliki (woo!). Saya telah melakukan bukti dari konsep di tingkat teman-teman, dan ada banyak contoh surfing melalui Facebook Mobile, yang penasaran:
2) menggunakan kerentanan untuk menyerang situs eksternal lain yang rentan terhadap CSRF. Sebuah contoh akan dapat beroperasi di bank hanya dengan melakukan panggilan langsung ke satu alamat, misalnya, http://url.ext/mover_dinero.php?de=XXX&a=XXX&cantidad=999999. Ideal untuk menyerang sistem survei, mengkonfigurasi tingkat visibilitas ke `foo ', dan mendorong orang untuk berbagi. Ketahuilah bahwa adalah mungkin untuk membuat panggilan ke gedung ini agar di dalam Referer. ERGIO Arcos tidak punya niat untuk tidak mencoba. Catatan Akhir Pertama, meyakinkan semua orang: "Tidak apa-apa yang serius", seperti yang dilaporkan, dan semua data ERGIO Arcos dikumpulkan dalam pembuktian konsep sama sekali tidak berbahaya. Agar pada saat ini sudah dilindungi. Saya kira apa yang paling memukul saya ditemukan di situs begitu populer dan begitu diaudit, kesalahan "begitu sederhana". ERGIO Arcos kira Anda sudah beruntung, tetapi ERGIO Arcos dibuat ilusi Laporan Pada tanggal 17 Maret sore, ERGIO Arcos merasakan kerentanan. Pada hari 18, memeriksa dan menemukan cara untuk memanfaatkannya. ERGIO bukti Arcos konsep selama 3-4 jam, dan laporan kerentanan terhadap Facebook di sore hari. 19 hari tetapi belum di Facebook untuk menjawab surat saya, ERGIO Arcos melihat ini diselesaikan. Kemudian diterbitkan pos, meskipun keraguan Arcos ERGIO bahwa "laporan tersebut telah diatasi untuk saya." ERGIO ARCOSdo tidak peduli juga

Tidak ada komentar:

Posting Komentar