昨天睡了一天終於等到OWASP第二天的重頭戲了,主辦單位一開場就來個下馬威,第一場就讓Robert的Clickjacking來幫大家提提神。
Clickjacking的基本原理就和我上篇談Clickjacking時提到別人的模擬code是一樣的,主要就是將一張偽裝的網頁疊在你真正希望被害者去點的網頁,這樣一來即使該網站沒有XSS漏洞你也可以強迫被害人去做一些他原本不會做的擊點動作,不過這樣的攻擊其實是有他的限制性的,因為即使用戶去擊點網頁也沒什麼了不起,但是如果被害者擊點了下面的勾勾,那我們就有新的自拍流出可以看囉。
沒錯,駭客可以偽裝任何網頁甚至是網頁小遊戲,只要可以誘使受害者在網頁上點一下,便可以透過flash plug-in在受害者毫不知情的狀況下來強迫分享webcam跟mic的視訊以及聲音,特別是那種把筆電當桌機然後又內建webcam的那種人,難怪adobe會求Robert不要在他們沒patch之前公佈這個0day,不過就算flash已經patch了,在Robert的Demo裡面也只是閃一下,被害者很容易就忽略掉了,不知道adobe是在patch心酸的喔?
不過我覺得Robert講的另外一個攻擊手法才是這次大會的一個技術亮點(亮點,對岸的用詞,大概是精華的意思,我不太會翻),那就是透過google gadget來做CSRF,這是由於google本身存在著一些XSS問題,根據Robert的說法他早在幾年前就已經告知google此項問題,但是google並沒有做修正,所以他藉著google desktop上面的gadget來表演如何利用CSRF來竊取你在google上面的個人資料,他示範如何透過gadget來監控你在google上面的search字眼、買了哪幾支股票等等,事實上你在google用的服務越多(不管是google提供的或者別人開發的gadget),CSRF可以得到的東西也就越多,當然也可以想像萬一session hijack成功的話,駭客幫你下單應該也不是太大的問題。
所以Robert點出了一個很根本的問題,web 2.0的mashup的確讓各式新的服務能夠又快又好的產出,但是卻沒有人可以保證每支mashup都沒有問題,用的人根本不知道他現在用的gadget的提供者到底是阿貓還是阿狗,更甚者連google本身都不care XSS的問題要誰來care?
舉個更貼切的例子來說,很多人都會在自己網站上貼上別人提供的部落格貼紙,誰能夠保證這些部落格貼紙都是安全的?以pixnet來說,pixnet根本不care blogger在blog上面放什麼javascript,在後台還沒分家之前很容易的就可以透過XSS去取得別人的登入權限,更不用提無名了,懶得前後台分家乾脆禁用javascript
,不過無名相簿被破也早就是家常便飯了,禁不禁用也無所謂啦。
除了Robert之外,Tim Bass的演講我也覺得相當的不錯,雖然他講的不多,但是他點出一個我之前很有興趣的問題,如何污染proxy server的cache?Tim Bass的主要內容是講說Proxy Server上面若對Session的控制不夠嚴謹會造成用戶拿到別人的cache內容,他舉了他在google doc上面遇到的問題,最後google回覆他說是壞掉的Proxy Server造成的,我猜應該指的是google reverse proxy server,但是我遇過的是一般的Proxy Server(如果可以crack掉reverse proxy的話當然更好),小的曾經不小心在某台Proxy Server看到幾個yahoo帳號,心想如果可以拿到更多proxy cache內容應該會有更多有趣的東西,反過來想,如果可以污染Proxy cache...嘿嘿..事情就更大條了,關於污染cache的問題前一陣子DNS cache污染漏洞也是搞得很大壓,有興趣的人可以看一下http smuggling,是一個滿久以前用來污染proxy server的方法,我覺得Tim Bass講的東西發生機率可能不是那麼的高,但是在以XSS跟SQL Injection當道的今日,不啻乎為一個有趣的議題。
最後是今天跟同事聊的滲透測試,主要是聊KK那場「如何做好商業滲透測試」,KK分享了很多他的經驗,但是我還是覺得在台灣除了政府會有多少企業會願意花錢作滲透測試?好的滲透測試是非常花時間跟人力的,尤其若要做到像KK他們那樣除了系統漏洞之外還要打Bussiness flow的弱點,肯定要花很多時間去了解事主公司的運作狀況,做完一大堆事之後堆積成山的弱點報告以及改善建議的數量應該會非常可怕,整個流程下來應該非常的曠日費時,成本更不用說,不過同事講了一句話其實也滿有道理的:『印度人力比較便宜而且他們又是軟測帝國不用怕沒有硬底子的人,整個work flow應該會非常有效率啦。』在台灣可能沒幾間公司可以這樣搞吧,我猜。
留言列表
IT技術 (4)