Forum » Informacijska varnost » Nepreverjanje headerjev pri prijavi
Nepreverjanje headerjev pri prijavi
Yacked2 ::
Pozdravljeni,
ugotavljam, da veliko strani pri prijavi ne preveri headerja. S čimer je izvedba phishing napada precej lažja, saj bi lahko klasičen napad nadgradili in uporabili AJAX s čimer prijava izgleda čist taka kot prava (Brez dvakratnih prikazovanj strani).
Proof of concept: https://github.com/andrazjelenc/Advence...
Komentarji?
Lep pozdrav,
Yacked2
PS. Upam da te varnostne pomanjkivost na slo-techu ni :)
ugotavljam, da veliko strani pri prijavi ne preveri headerja. S čimer je izvedba phishing napada precej lažja, saj bi lahko klasičen napad nadgradili in uporabili AJAX s čimer prijava izgleda čist taka kot prava (Brez dvakratnih prikazovanj strani).
Proof of concept: https://github.com/andrazjelenc/Advence...
Komentarji?
Lep pozdrav,
Yacked2
PS. Upam da te varnostne pomanjkivost na slo-techu ni :)
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
fiction ::
O kakšnem preverjanju headerjev točno govoriš? Daj bodi malo bolj specifičen. To kar omenjaš, je enostaven CSRF na login. Ponavadi je CSRF problem, ko si enkrat prijavljen. Nekdo lahko s tem, ko ti pošlje direkten link do neke akcije in ti to nevede klikneš, sproži tisto v tvojem imenu.
Preberi si: https://www.owasp.org/index.php/Cross-S...
Tukaj je razlika samo v tem, da te prijavi mimo forme za vpis credentialov. Ampak s samim phishingom vse skupaj nima nič.
HTTPS in X.509 certifikati so za preverjanje istovetnosti obeh strani (strežnika in opcijsko tudi klienta). Torej v obeh primerih je game over, ker si že izdal svoje podatke. Razlika je samo v tem, da pri direktni prijavi mogoče nisi tako sumničav kot sicer. Ampak tudi v drugem primeru, lahko neka avtomatika takoj ko dobi dostop, pobere zanimive podatke, te zaklene ven ali kaj podobnega.
Preberi si: https://www.owasp.org/index.php/Cross-S...
Tukaj je razlika samo v tem, da te prijavi mimo forme za vpis credentialov. Ampak s samim phishingom vse skupaj nima nič.
HTTPS in X.509 certifikati so za preverjanje istovetnosti obeh strani (strežnika in opcijsko tudi klienta). Torej v obeh primerih je game over, ker si že izdal svoje podatke. Razlika je samo v tem, da pri direktni prijavi mogoče nisi tako sumničav kot sicer. Ampak tudi v drugem primeru, lahko neka avtomatika takoj ko dobi dostop, pobere zanimive podatke, te zaklene ven ali kaj podobnega.
Yacked2 ::
Navadni phishing ti pobere podatke in te navigira na legit stran. Tole ti pa pobere podatke pred prijavo in te nato poiskuša prijaviti. Med prijavo urinemo en ajax post, ki si zapomni geslo. Nekaj večjih slovenskih forumov je na to varijanto ranlivih. Med drugimi mi je prijavo sprejel tudi PayPa (upisoval sem se z testnimi podatki in dobil wrong password alert)
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
Zgodovina sprememb…
- spremenil: Yacked2 ()
fiction ::
Navadni phishing ti pobere podatke in te navigira na legit stran. Tole ti pa pobere podatke pred prijavo in te nato poiskuša prijaviti. Med prijavo urinemo en ajax post, ki si zapomni geslo. Nekaj večjih slovenskih forumov je na to varijanto ranlivih. Med drugimi mi je prijavo sprejel tudi PayPa (upisoval sem se z testnimi podatki in dobil wrong password alert)
"Ranljiv" je zgolj in samo uporabnik, ki je nasedel in na lažni strani vpisal svoje podatke.
Ok, lahko bi tudi na prijavni strani poskrbeli za CSRF zaščito, ampak včasih je to najbrž tudi zanalašč tako kot je. Ne vem, predstavljam si npr. mobile app, ki ima implementirane samo najpomembnejše reči in ti za spreminjanje nastavitev odpre webview in te avtomatsko prijavi z redirectom na /settings ali kaj podobnega.
Tudi tvoja varianta je "navaden phishing". Na GitHubu omenjaš DNS spoofing. V primeru MiTM zmožnosti, bi lahko izvedel tudi kaj bolj kreativnega...
Yacked2 ::
Res je to napad na uporabnika, ampak bi se lahko potrudili in napad preprečili že pri prijavi. Velikokrat trpi varnost na račun udobja.
Mitm je samo kot primer, glede na to, da ne obstaja praktičen način za bypass htst (šlo bi če bi se naprimer uporabniku prestavili sistemsko uro naprej). Sniffanje httpsja torej ne pride v poštev.
Mitm je samo kot primer, glede na to, da ne obstaja praktičen način za bypass htst (šlo bi če bi se naprimer uporabniku prestavili sistemsko uro naprej). Sniffanje httpsja torej ne pride v poštev.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!
MrStein ::
Mimogrede, prav se piše "Advanced"
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Anonymous onesposobil petino strani na temnem spletuOddelek: Novice / Kriptovalute | 7939 (5323) | Perkowich |
» | Paypal - vdor v račun - pomoč!!Oddelek: Pomoč in nasveti | 10162 (6532) | Ales |
» | Detekcija phishing-aOddelek: Informacijska varnost | 1504 (1322) | čuhalev |
» | [Opozorilo] Nova KBM phishing e-maili! (strani: 1 2 )Oddelek: Loža | 13453 (11480) | stb |
» | Analiza slovenskih geselOddelek: Novice / Zasebnost | 12159 (10097) | BlueRunner |