The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

ALPACA - новая техника MITM-атак на HTTPS

09.06.2021 21:13

Группа исследователей из нескольких университетов Германии разработала новый метод MITM-атаки на HTTPS, дающий возможность извлечь Cookie с идентификаторами сеанса и другие конфиденциальные данные, а также добиться выполнения произвольного кода JavaScript в контексте другого сайта. Атака получила название ALPACA и может быть применена к TLS-серверам, реализующим разные протоколы прикладного уровня (HTTPS, FTPS, SMTP, IMAP, POP3), но использующим общие TLS-сертификаты.

Суть атаки в том, что при наличии контроля над сетевым шлюзом или точкой беспроводного доступа атакующий может перенаправить web-трафик на другой сетевой порт и организовать установку соединения с FTP или почтовым сервером, поддерживающими TLS-шифрование и использующими общий с HTTP-сервером TLS-сертификат, и браузер пользователя будет считать, что установлено соединение с запрошенным HTTP-сервером. Так как протокол TLS универсален и не привязан к протоколам прикладного уровня, установка шифрованного соединения для всех сервисов идентична и ошибка отправки запроса не к тому сервису может быть определена только уже после установки шифрованного сеанса во время обработки команд отправленного запроса.

Соответственно, если, например, перенаправить соединение пользователя, изначально адресованное к HTTPS, на почтовый сервер, в котором применяется общий с HTTPS-сервером сертификат, TLS-соединение будет успешно установлено, но почтовый сервер не сможет обработать переданные HTTP-команды и вернёт ответ с кодом ошибки. Данный ответ будет обработан браузером как ответ запрошенного сайта, переданный внутри корректно установленного шифрованного канала связи.

Предложено три варианта атаки:

  • "Upload" для извлечения Cookie с параметрами аутентификации. Метод применим, если охватываемый TLS-сертификатом FTP-сервер позволяет загрузить и извлечь свои данные. В данном варианте атаки атакующий может добиться сохранения частей изначального HTTP-запроса пользователя, таких как содержимое заголовка Cookie, например, если FTP-сервер интерпретирует запрос как файл для сохранения или полностью журналирует входящие запросы. Для успешной атаки злоумышленнику требуется затем каким-то образом извлечь сохранённое содержимое. Атака применима к Proftpd, Microsoft IIS, vsftpd, filezilla и serv-u.
  • "Download" для организации межсайтового скриптинга (XSS). Метод подразумевает, что атакующий в результате каких-то отдельных манипуляций может разместить данные в сервисе, использующем общий TLS-сертификат, которые затем можно выдать в ответ на запрос пользователя. Атака затрагивает вышеотмеченные FTP-серверы и IMAP/POP3-серверы (courier, cyrus, kerio-connect и zimbra). Например, подобный вариант атаки может быть применим к почтовым сервисам, предоставляющим доступ к сообщениям через web-интерфейс и через POP3/IMAP поверх TLS.
  • "Reflection" для запуска JavaScript в контексте другого сайта. Метод основан на возвращении клиенту части запроса, в котором содержится отправленный атакующим JavaScript-код. Атака применима к вышеотмеченным FTP-серверам, IMAP-серверам cyrus, kerio-connect и zimbra, а также к SMTP-серверу sendmail.

Например, при открытии пользователем страницы, подконтрольной атакующим, с этой страницы может быть инициирован запрос ресурса с сайта, на котором у пользователя имеется активная учётная запись (например, bank.com). В ходе MITM-атаки этот запрос, адресованный web-сайту bank.com, можно перенаправить на почтовый сервер, в котором используется общий с bank.com TLS-сертификат. Так как почтовый сервер не завершает сеанс после первой ошибки, служебные заголовки и команды, такие как "POST / HTTP/1.1" и "Host:", будут обработаны как неизвестные команды (почтовый сервер вернёт на каждый заголовок "500 unrecognized command").

Почтовый сервер не разбирает особенности протокола HTTP и для него служебные заголовки и блок данных POST-запроса обрабатываются одинаково, поэтому в теле POST-запроса можно указать строку с командой почтовому серверу. Например, можно передать:


   MAIL FROM: <script>alert(1);</script>
на что почтовый сервер вернёт сообщение об ошибке

   501 <script>alert(1);</script>: malformed address: alert(1);</script> may not follow <script>

Этот ответ получит браузер пользователя, который выполнит JavaScript-код в контексте не изначально открытого сайта атакующего, а сайта bank.com, на который был отправлен запрос, так как ответ поступил внутри корректного TLS-сеанса, сертификат которого подтвердил подлинность ответа bank.com. Из браузеров подобная манипуляция сработает только в Internet Explorer и в старом Microsoft Edge (выпуски до перехода на движок Chromium), которые определяют наличие HTML/JavaScript в выдаваемом потоке, даже если ответ сервера не содержит корректного заголовка ("HTTP/1.1 200 OK"). Для того, чтобы заставить выполнить JavaScript в остальных браузерах необходимо обеспечить вывод корректного HTTP-ответа, например, это можно сделать при наличии доступа на запись на FTP-сервер при возможности вернуть содержимое сохранённого файла в ответ на запрос из браузера пользователя.

Сканирование глобальной сети показало, что проблеме в общем виде подвержены около 1.4 млн web-серверов, для которых возможно совершение атаки со смешиванием обращений по разным протоколам. Возможность реального совершения атаки определена для 119 тысяч web-серверов, для которых присутствовали сопутствующие TLS-серверы на базе других прикладных протоколов.

Примеры эксплоитов подготовлены для ftp-серверов pureftpd, proftpd, microsoft-ftp, vsftpd, filezilla и serv-u, IMAP- и POP3-серверов dovecot, courier, exchange, cyrus, kerio-connect и zimbra, SMTP-серверов postfix, exim, sendmail, mailenable, mdaemon и opensmtpd. Исследователями изучена возможность совершения атаки только в сочетании с серверами FTP, SMTP, IMAP и POP3, при этом не исключается, что проблема может проявляться и для других прикладных протоколов, использующих TLS.

Для блокирования атаки предложено использовать расширение ALPN (Application Layer Protocol Negotiation) для согласования TLS-сеанса с учётом прикладного протокола и расширение SNI (Server Name Indication) для привязки к имени хоста в случае применения TLS-сертификатов, охватывающих несколько доменных имён. На стороне приложений рекомендовано ограничить лимит на число ошибок при обработке команд, после достижения которого разрывать соединение. Процесс выработки мер по блокированию атаки начался ещё в октябре прошлого года. Подобные меры для защиты уже приняты в Nginx 1.21.0 (mail proxy), Vsftpd 3.0.4, Courier 5.1.0, Sendmail, FileZilla, crypto/tls (Go) и Internet Explorer.

  1. Главная ссылка к новости (https://alpaca-attack.com/...)
  2. OpenNews: RangeAmp - серия атак на CDN, манипулирующая HTTP-заголовком Range
  3. OpenNews: Представлен Sweet32, новый вид атаки на HTTPS и OpenVPN
  4. OpenNews: Уязвимость, позволяющая совершить MITM-атаку через манипуляцию с HTTP-заголовком Proxy
  5. OpenNews: Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов
  6. OpenNews: Представлен новый вид атаки по перехвату данных, передаваемых через HTTPS-соединения
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55307-alpaca
Ключевые слова: alpaca, tls, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (205) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (5), 22:02, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +15 +/
    Оригинально. Из категории идей, которые кажутся очевидными после того как кто-то обратит на них внимание.

    Но ещё больше удивило, что нашлось больше 40 тысяч сайтов, использующий один SSL-сертификат с FTP-серверами, от которых как казалось уже все кто можно отказался.

     
     
  • 2.7, СеменСеменыч777 (?), 22:14, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –8 +/
    ftp - дрянь-протокол, но зато его все знают.
     
     
  • 3.22, Аноним (22), 23:05, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не забудьте то же самое сказать про email (SMTPS, POP3S, IMAPS).
     
     
  • 4.94, Аноньимъ (ok), 10:56, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    "Почтовые" протоколы дрянь и ужас.
    К ним же в кучу nfs3 и всякие сипы и прочие аудио видео звонки которым не хватает одного соединения на один порт.
     
     
  • 5.105, Аноним (105), 11:54, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    >  всякие сипы и прочие аудио видео звонки которым не хватает одного соединения на один порт.

    Итак давай представим себе ситуацию, что есть группа людей из 4-х человек, которые общаются в голосовом/видео чате. Первый второму перекидывает файл, третий пишет им всем сообщения, а четвертый слушает что они все говорят, находясь в мобильной сети, переключаясь между wcdma/hsdpa/hspa+/lte сетями, потому что едет в машине. Ну так вот потом четвертый пришел домой и попал в Wi-Fi сеть и тут же добавил в разговор пятого.

    Вот для организации всего этого достаточно SIP в сочетании с теми протоколами, которые идут вместе с ним =)

    А теперь, умник, попробуй мне построить то же самое на клиент-серверной сети с одним соединением на порт. Я посмотрю на тебя. Было уродство под названием XMPP, да сплыло, когда оказалось, что нужно 80% SIP портировать в него чтобы голос добавить. Вот и получился XMPP Jingle, который сдох. Пиринговая сеть рядышком с клиент-серверным XMPP, и, нет, через один порт не получилось. Ни у кого не получится.

    Дрянь и ужас - это уровень твоего образования. Тех у кого нет жизни вне одной клиент-серверной TCP-сессии лучше держать подальше от проектирования протоколов. И если внутри FTP еще можно было бы как-то обойтись, то медиа...

    А что НЕ "дрянь и ужас", я стесняюсь спросить? Ну кроме HTTP. Или только на вебне жить прикажешь? Ой. А как же в этой самой вебне делается медиа? Ты не поверишь. ICE+SDP+STUN+TURN+SRTP поверх вебсокетов, которые идут "вторыми" портами. Ой всё...

     
     
  • 6.110, Аноньимъ (ok), 12:55, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >умник

    Спасибо.

    >попробуй мне
    >Я посмотрю на тебя
    >Дрянь и ужас - это уровень твоего образования

    Мне это саморазоблачение ненужно в общем комментировать.

    >Ой. А как же в этой самой вебне делается медиа? Ты не поверишь. ICE+SDP+STUN+TURN+SRTP поверх вебсокетов, которые идут "вторыми" портами

    Да, это дрянь и ужас абсолютная, тут разве что согласен.

    >XMPP

    Смешались люди кони у вас в кучу одну.

     
     
  • 7.115, Просто (?), 13:51, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если ты осуждаешь реализации с множеством соединений, значит у тебя есть рабочие кейсы с одним на все?
    Есть реализации? Есть что предложить? Рабочее, для всего медиа.
     
     
  • 8.135, n00by (ok), 18:13, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто надо задаться вопросом а что такое порт ... текст свёрнут, показать
     
  • 6.137, Аноньимъ (ok), 18:52, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пример протокольного Ада:

    https://www.opennet.me/opennews/art.shtml?num=54058
    https://www.opennet.me/opennews/art.shtml?num=54480

     
     
  • 7.154, Аноним (105), 02:33, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Сразу видно что ты новости читать умеешь, а про что они написаны не знаешь Не и... большой текст свёрнут, показать
     
     
  • 8.156, Аноньимъ (ok), 03:35, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чел, мне твои индюшачии петушения ни к чему У тебя серьезные проблемы с чувство... текст свёрнут, показать
     
     
  • 9.158, Аноним (105), 03:42, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не пойму, если я индюк, и меня раздуло до размеров дирижабля, то почему лопнул и... текст свёрнут, показать
     
  • 8.164, Аноним (164), 08:26, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А сейчас мы выслушаем как должен выглядеть стандарт ната на удп конечно ... текст свёрнут, показать
     
     
  • 9.204, Да не важно (?), 22:35, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да хоть как Но как-то должен Сейчас же их пять в Википедии они описаны, в анг... текст свёрнут, показать
     
  • 4.96, Moomintroll (ok), 11:16, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не забудьте то же самое сказать про email (SMTPS, POP3S, IMAPS).

    У SMTP, POP3 и IMAP есть STARTTLS, с которым этот фокус не пройдёт.

     
  • 4.101, СеменСеменыч777 (?), 11:42, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не забудьте то же самое сказать про email (SMTPS, POP3S, IMAPS).

    не согласен как минимум про первых два и отчасти про imap.
    во-первых используется один порт и одно соединение (а не два навстречу друг другу).
    дальше продолжать ?

     
  • 3.56, Аноним (56), 00:16, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    FTP отличный протокол. Это руки дрянь у тех кто его не осилил и везде всунул HTTP
     
     
  • 4.57, Аноним (22), 00:19, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –11 +/
    Попробуйте запостить этот же комментарий через FTP, а то как-то голословно.
     
     
  • 5.64, deeaitch (ok), 00:29, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    А ты стрелки не переводи. FTP не для того чтобы коменты постить и javascript запускать. А для передачи фалов. И сравляется он с этим куда лучше HTTP и/или HTTPS.
     
     
  • 6.69, Stax (ok), 01:11, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +10 +/
    О дааа.. Одна проблема с буквой "я" чего стоит, а про классику в виде отсутствия понятия кодировки имен файлов (и невозможности договориться о ней), работу через два независимых порта, что создает свои неприятности (ну-ка попробуйте с пол-тычка завернуть ftp в ssh туннель, аналогично http) и неопределенность даты файлов уж и не говорим..
     
     
  • 7.75, Аноним (164), 05:14, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    FXP покажи через http.
     
     
  • 8.108, Annoynymous (ok), 12:35, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    FXP покажи через ftp, шутник ... текст свёрнут, показать
     
     
  • 9.140, Аноним (164), 20:15, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    rfc959 пункт 2 3 ... текст свёрнут, показать
     
     
  • 10.143, Annoynymous (ok), 21:32, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты б ещё на man сослался, как его включить Только его никто не включает Угадае... текст свёрнут, показать
     
     
  • 11.144, Аноним (164), 21:48, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да я сразу понял что ты афедроном повертеть сюда зашёл Не надо было это лишний ... текст свёрнут, показать
     
     
  • 12.146, Annoynymous (ok), 22:03, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну ты сразу понял, что был неправ ... текст свёрнут, показать
     
     
  • 13.200, deeaitch (ok), 15:13, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он понял я думаю Куда лучше читать маны и rfc, чем общаться с эпичными неосилят... текст свёрнут, показать
     
  • 11.199, deeaitch (ok), 15:11, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я угадаю, ты маны читать не умеешь, как и мноние, куда там до rfc ... текст свёрнут, показать
     
     
  • 12.201, Annoynymous (ok), 19:44, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Конечно Ты же мне покажешь сервер в интернете с работающим FXP, теоретик, читав... текст свёрнут, показать
     
     
  • 13.205, deeaitch (ok), 04:24, 15/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сложно придумать для чего оно может быть, но так и быть Поднял Нужнее мне оно ... текст свёрнут, показать
     
  • 8.214, Аноним (214), 19:02, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да никому нафиг не сдался тот FXP У FTP было три киллер-фичи 1 Скорость Роут... текст свёрнут, показать
     
  • 7.125, deeaitch (ok), 15:55, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > О дааа..

    Именно, да.

    > Одна проблема с буквой "я" чего стоит, а про классику
    > в виде отсутствия понятия кодировки имен файлов (и невозможности договориться о
    > ней),

    Интересно, почему у меня нет этой проблемы? А? Может маны почитать не?

    > работу через два независимых порта, что создает свои неприятности

    А почему у меня работает через 1? Магия?

    > (ну-ка
    > попробуйте с пол-тычка завернуть ftp в ssh туннель, аналогично http)

    sftp это не ftp с ssl. Это на секунду часть ssh и заводится на ура с пол оборота. Но мы же iPony style, неосиляторы.

    > и
    > неопределенность даты файлов уж и не говорим..

    Откуда вы берёте все эти проблемы. Десятилетиями весят публичные репозитории и ни у кого нет проблем. Одни только неосиляторы ноют.

     
     
  • 8.185, Stax (ok), 21:36, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И какими же манами вы добавите поддержку передачи кодировки И какими манами поч... большой текст свёрнут, показать
     
     
  • 9.198, deeaitch (ok), 15:09, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не спорю, была такая проблема Где-то в конце 90-х начале 2000-х Но она давным ... большой текст свёрнут, показать
     
     
  • 10.203, Annoynymous (ok), 19:47, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чувааааак Ты теоретик Признайся в этом и перестань это показывать в каждом пос... текст свёрнут, показать
     
     
  • 11.207, deeaitch (ok), 04:28, 15/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак Признайся, ты эпичный неосилятор из армии iPony и такой-же нытик как Frac... текст свёрнут, показать
     
  • 11.210, deeaitch (ok), 23:27, 15/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Молодец Признался таких что нытик и неосилятор Признание это первый шаг к вызд... текст свёрнут, показать
     
  • 8.202, Annoynymous (ok), 19:45, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Обожаю опеннетовский комментаторов Ты даже не понял, что у тебя спросили Про ... текст свёрнут, показать
     
     
  • 9.206, deeaitch (ok), 04:25, 15/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обожаю эпичных неосиляторов Которые не в состоянии уже даже дерево сообщение пр... текст свёрнут, показать
     
  • 7.213, Аноним (214), 18:53, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > О дааа.. Одна проблема с буквой "я" чего стоит, а про классику в виде отсутствия понятия кодировки имен файлов (и невозможности договориться о ней),

    А зачем кодировки, когда всё в UTF-8?

    > работу через два независимых порта, что создает свои неприятности (ну-ка попробуйте с пол-тычка завернуть ftp в ssh туннель, аналогично http)

    Для ssh не нужен ftp. Но если очень хочется, то можно 3мя способами (протокол позволяет задавать фиксированные порты, а у ssh есть -D).

    > и неопределенность даты файлов уж и не говорим..

    Определена не хуже чем в http.

     
  • 6.88, anonymous (??), 10:18, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И делает он это слишком сложно. Например делать дополнительное соединение,  чтобы передать данные -- это вызывает огромное количество неполадок при использовании FTP.
     
     
  • 7.127, deeaitch (ok), 15:57, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > И делает он это слишком сложно. Например делать дополнительное соединение,  чтобы
    > передать данные -- это вызывает огромное количество неполадок при использовании FTP.

    Эпичные неосиляторы, когда же вы научитесь доки читать. Нормально ходит и через один порт.

     
     
  • 8.211, Аноним (214), 18:41, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Именно FTP ходит Или какой-нибудь SFTP, который вообще другой протокол ... текст свёрнут, показать
     
  • 6.103, СеменСеменыч777 (?), 11:44, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >  А для передачи фалов.

    фаллов. и даже местами фаллловъ (чтобы выглядели подлиннее и потверже).

     
     
  • 7.128, deeaitch (ok), 15:58, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>  А для передачи фалов.
    > фаллов. и даже местами фаллловъ (чтобы выглядели подлиннее и потверже).

    Это чтобы неосиляторам было чем перед дефачками хвастаться. Своего то тю....

     
  • 5.100, hshhhhh (ok), 11:42, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну через telnet на bbs сидели, а то целый фтп!
     
     
  • 6.123, СеменСеменыч777 (?), 15:42, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > ну через telnet на bbs сидели, а то целый фтп!

    было дело. но я уже забыл как там фаллы и ваагины передавали.
    то ли клиент telnet запускал ZModem и отдавал ему поток, то ли как-то еще.

     
  • 4.93, Аноньимъ (ok), 10:53, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ужасный он. Использует нетривиальную схему соединений вместо одного  TCP стрима.
    Из за чего его ненавидели уже 20лет назад.

    Фаерволить подобное сущий ад.

     
     
  • 5.97, нах.. (?), 11:18, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Contrack не пробывал, не?
     
     
  • 6.111, Аноньимъ (ok), 12:59, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ?
     
  • 6.126, СеменСеменыч777 (?), 15:56, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Contrack не пробывал, не?

    https://www.opennet.me/opennews/art.shtml?num=54058
    https://www.opennet.me/opennews/art.shtml?num=54480

    анона-фанатика SIP выше по треду тоже касается.

     
  • 6.129, СеменСеменыч777 (?), 15:59, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    вот на этот коммент особое внимание
    https://www.opennet.me/openforum/vsluhforumID3/122380.html#119
     
     
  • 7.138, Аноньимъ (ok), 18:55, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > вот на этот коммент особое внимание
    > https://www.opennet.me/openforum/vsluhforumID3/122380.html#119

    В коменте пишут, что производители роутеров ленивые.
    Я думаю дело не просто в том, что ленивые, а в том, что это реально сложно, особенно для бытовых железок с ограниченной памятью и железом.
    И опять таки встаёт вопрос совместимости с обратной стороны софта, который уже вероятно ожидает конкретную реализацию ната.

    Ну и не только в НАТе дело, попробуйте такого монстра протокольного банально разрешить или запретить в фаерволле.

    А так да, протокольный Ад хорошо описан.

     
     
  • 8.155, Аноним (105), 03:07, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обыкновенный SIP-телефон стоит не сильно дороже роутеров и памяти в нём меньше, ... большой текст свёрнут, показать
     
     
  • 9.159, Аноньимъ (ok), 03:46, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Речь шла о роутерах Очевидно создавать богомерзкий сложный трафик и работать с ... большой текст свёрнут, показать
     
     
  • 10.160, Аноним (105), 04:36, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Среднестатистический телефон слабее роутера Сильно Предположение в корне не ве... большой текст свёрнут, показать
     
     
  • 11.161, Аноньимъ (ok), 04:42, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот кстати интересно, как собственно решается вопрос безопасности, ну хоть с тёт... текст свёрнут, показать
     
     
  • 12.162, Аноним (105), 06:07, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Есть несколько вариантов, которые лучше комбинировать 1 ACL до нужных SIP-серве... большой текст свёрнут, показать
     
     
  • 13.163, Аноньимъ (ok), 06:24, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, сохраню на случай если придётся таким заниматься Надеюсь конечно что н... текст свёрнут, показать
     
  • 11.209, СеменСеменыч777 (?), 20:56, 15/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    POTS сдох ISDN сдох ATM another terrible mistake сдох все что приходит от... текст свёрнут, показать
     
  • 7.157, Аноним (105), 03:36, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > анона-фанатика SIP выше по треду тоже касается.

    Предлагаешь анону фанатику SIP читать его собственный коммент?

    А ты смешной =)

     
  • 2.8, Аноним (8), 22:28, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>если FTP-сервер интерпретирует запрос как файл

    Очевидно? Мне не очевидно как мой браузер вдруг вместо HTTP начнёт говорить на языке FTP

     
     
  • 3.15, Аноним (5), 22:57, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Передавай внутри POST-данных любые команды FTP/SMTP/POP3/IMAP, предшествующие HTTP-заголовки просто игнорируются как ошибочные команды.
     
     
  • 4.21, Sw00p aka Jerom (?), 23:04, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Передавай внутри POST-данных любые команды

    написано же "Для успешной атаки злоумышленнику требуется затем каким-то образом извлечь сохранённое содержимое.", а каким - не сказано. Ибо так просто взять и отправить пост от имени bank.com не получится.
    Далее они предлагают, чтобы заманить жертву на подконтрольный левый сайт и там уже пытаться что-то сделать, но тут может не сработать из-за CORS.

    "Например, при открытии пользователем страницы, подконтрольной атакующим, с этой страницы может быть инициирован запрос ресурса с сайта, на котором у пользователя имеется активная учётная запись (например, bank.com)."

    Инициация этого запроса под вопросом.

     
     
  • 5.44, Аноним (8), 23:48, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Каким-то образом извлечь данные это понятно как. Запрос из браузера идёт на FTP сервер и там сохраняется в виде файла. Дальше файл уже можно скачать если это позволено настройками FTP сервера.
    У меня вопрос как заставить браузер послать нужный запрос. Это выходит надо на страницу банка сперва что-то заинжектить.
     
     
  • 6.47, Sw00p aka Jerom (?), 23:57, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    с каких пор фпт будет понимать хттп-ешный запрос и еще умудриться это сохранить ... большой текст свёрнут, показать
     
     
  • 7.104, Аноним (104), 11:51, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > CORS куда смотреть будет?

    Никуда. Есть запросы, на которые он не реагирует.

     
     
  • 8.116, Урри (ok), 14:18, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    CORS вообще одна сплошная профанация ... текст свёрнут, показать
     
  • 6.50, Аноним (50), 00:07, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В статье же расписано как заставить послать - заставить зайти на свою страницу и с неё инициировать запрос к цели.
     
     
  • 7.139, Annoynymous (ok), 19:52, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И как-то случайно моя страница будет подписана тем же сертификатом, что и FTP сервер.
     
     
  • 8.150, Аноним (104), 00:05, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    перечитай статью ... текст свёрнут, показать
     
  • 4.38, Онаним (?), 23:38, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не совсем так.
    После X ошибочных команд обычно что клиент, что сервер - дисконнектятся.
    Не у всех есть такая защита, но мы говорим о серверах (раз POST) - там она в большинстве случаев есть.
     
  • 3.19, Аноним (22), 23:03, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    После того, как поддержку FTP убрали, для современного браузера все является HTTP.
     
  • 2.40, Онаним (?), 23:41, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее - из категории идей, про которые все давно знают (без шифрования это таки было ещё проще) и давно уже перестрахованы где надо.
     

     ....большая нить свёрнута, показать (73)

  • 1.6, Аноним (104), 22:13, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > ...при наличии контроля над сетевым шлюзом...
    > ...атакующий может разместить данные в сервисе...

    Простите, у вас там совсем <сосуд со множеством дырочек>?! С таким сосудом любая альпака - как мелкая шалость.

     
     
  • 2.29, Аноним (29), 23:13, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну вот взять вайфай, например. Даже запароленный. Владелец кафешки или отеля может атаковать.
     
     
  • 3.34, Аноним (104), 23:27, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > FTP-сервер ... журналирует входящие запросы. Для успешной атаки злоумышленнику требуется затем каким-то образом извлечь сохранённое содержимое.

    ... каким-то образом попасть на FTP-сервер. Да каждый владелец кафешки имеет доступ на сервер твоего банка!

     
     
  • 4.89, anonymous (??), 10:21, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Доступ на FTP бывает и анонимным. А роутер кафешки может быть уже взломан каким-то другим злоумышленником.
     
     
  • 5.98, Q2W (?), 11:29, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Анонимный FTP под сертификатом твоего банка?
    Это про сбербанк что ли?
     
     
  • 6.196, anonymous (??), 12:20, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это, вообще говоря, и не обязательно банк. Это может быть ваш хостер, например.
     
     
  • 7.212, Аноним (214), 18:45, 22/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это, вообще говоря, и не обязательно банк. Это может быть ваш хостер, например.

    Не может. У этого "FTP" должен быть тот же сертификат, что и у банка. Откуда у хостера возьмётся сертификат банка?

    Или банк на шаред-хостинге сидит?

     
  • 2.102, hshhhhh (ok), 11:43, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Простите, у вас там совсем <сосуд со множеством дырочек>?!

    так в этом же и суть MiTM атак?

     

  • 1.9, Аноним (8), 22:30, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    С такими дырами хром может убирать из чёрного списка тот набор номеров портов, которые они захардкодили для защиты от NAT slipstreaming. Потому что по факту данная уязвимость как раз и обходит эту защиту, перенаправляя запрос с 443 на уязвимый порт.
     
     
  • 2.16, Sw00p aka Jerom (?), 22:57, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    митм форвардинг одного порта на другой, тут браузер будет думать, что подключается именно к 443.
     
  • 2.18, Аноним (5), 23:01, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Интерес эта атака имеет больше теоретический, так как для проведения требуется MITM. Но авторы обещают на  USENIX Security Symposium раскрыть способ, работающий без MITM, а это уже совершенно другой уровень опасности.
     

  • 1.10, YetAnotherOnanym (ok), 22:31, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > использующим общие TLS-сертификаты
    > при наличии контроля над сетевым шлюзом или точкой беспроводного доступа

    А зачем мудрить с точкой доступа, если у атакующего уже есть "общие TLS-сертификаты" с имитируемым сервером?

     
     
  • 2.12, Аноним (8), 22:35, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет. Общие тут имеется в виду что есть например сайт и есть SFTP сервер, использующие общие сертификаты. Например yandex.ru и ftp.yandex.ru могли бы использовать общий условно *.yandex.ru сертификат. Атакующий при помощи точки доступа перенаправляет запрос вашего браузера с HTTPS на SFTP сервер.
     
     
  • 3.13, Sw00p aka Jerom (?), 22:43, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Атакующий при помощи точки доступа перенаправляет запрос вашего браузера с HTTPS на SFTP сервер.

    а дальше что?

     
     
  • 4.26, Аноним (104), 23:11, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    SFTP футболит с ошибкой, попутно делая эхо этой ошибки, которая вовсе не ошибка, а нужные данные, переданные через POST. А твой наивный браузер всё это ловит и думает, что это ответ с bank.com и начинает выполнять скрипты в контексте bank.com.
     
     
  • 5.32, Sw00p aka Jerom (?), 23:24, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > SFTP футболит с ошибкой, попутно делая эхо этой ошибки, которая вовсе не
    > ошибка, а нужные данные, переданные через POST. А твой наивный браузер
    > всё это ловит и думает, что это ответ с bank.com и
    > начинает выполнять скрипты в контексте bank.com.

    так так, а как открывается контекст с bank.com?

     
     
  • 6.35, Аноним (104), 23:30, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Твой браузер и открывает, только запрос немного не туда уходит.
     
     
  • 7.39, Онаним (?), 23:39, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И сбрасывается, потому что protocol violation.
     
  • 7.41, Sw00p aka Jerom (?), 23:42, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    хмммммммммм Условия 1 evil com страничка замануха атакующего 2 атакующий мож... большой текст свёрнут, показать
     
     
  • 8.48, Аноним (104), 23:59, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да и да Некоторые запросы не заставляют срабатывать CORS ... текст свёрнут, показать
     
     
  • 9.60, Sw00p aka Jerom (?), 00:23, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ok, ясно, а как же быть с protocol violation, когда браузер ожидает HTTP 1 1 200... текст свёрнут, показать
     
     
  • 10.65, Sw00p aka Jerom (?), 00:34, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    можете не отвечать, Internet Explorer - ясно все, удивляться нечему Is my brows... большой текст свёрнут, показать
     
     
  • 11.80, Онаним (?), 09:05, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тут правильнее было написать no browser protects the user against all possible ... текст свёрнут, показать
     
  • 3.83, YetAnotherOnanym (ok), 09:16, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нет. Общие тут имеется в виду что есть например сайт и есть
    > SFTP сервер, использующие общие сертификаты. Например yandex.ru и ftp.yandex.ru могли
    > бы использовать общий условно *.yandex.ru сертификат. Атакующий при помощи точки доступа
    > перенаправляет запрос вашего браузера с HTTPS на SFTP сервер.

    В любом случае, предполагается, что у атакующего есть закрытый ключ, соответствующий этому сертификату. С ним можно сделать что угодно просто подняв свой веб-сервер.

     
     
  • 4.120, Аноним (8), 14:56, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Нет, ключ от сертификата тут не нужен. Атакующий не вмешивается в сам трафик, не читает его и не видоизменяет.
     
  • 3.85, hefenud (ok), 09:50, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ванька путает ftp и sftp? Ванька не знает, что это разные протоколы?
     

  • 1.11, Аноним (8), 22:32, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Мораль: держите FTP, SMTP, IMAP и прочие сервисы на отдельных поддоменах со своими собственными сертификатами благо сейчас стало проще автоматизировать их обновление.
     
     
  • 2.14, Аноним (-), 22:54, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    не поможет
     
  • 2.23, Аноним (22), 23:07, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >  Мораль: держите FTP, SMTP, IMAP и прочие сервисы на отдельных поддоменах со своими собственными сертификатами благо сейчас стало проще автоматизировать их обновление.

    Полагаю, отказ от "сразу шифрованных" соединений в пользу STARTTLS тоже вполне прокатит.

     
     
  • 3.25, Sw00p aka Jerom (?), 23:08, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    угу
     
  • 2.58, Аноним (56), 00:19, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мораль не пользовать браузер
     
     
  • 3.131, Nefrace (?), 16:50, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как же вы тогда оправили это сообщение сюда?
     
  • 2.63, deeaitch (ok), 00:26, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Мораль в том что FTP, SMTP, IMAP оказались совершенно не причём. А проблема вылезла вообще в HTTPS и браузерах.

    У нормальных людей через ftp, smtp, imap javascript не выполняется.

     

  • 1.17, Аноним (17), 22:59, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    И никого не смутило:
    <при наличии контроля над сетевым шлюзом или точкой беспроводного доступа>

    т.е. ломаем шлюз (не суть как) и только потом манипулируем с перенаправлением.

     
     
  • 2.24, Sw00p aka Jerom (?), 23:07, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    на "лошарике" можно подплыть и к кабелю подключиться :)
     
     
  • 3.43, Аноним (43), 23:46, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ха)
     
  • 2.27, Аноним (5), 23:12, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Реалии таковы, что точки беспроводного доступа и домашние маршрутизаторы дырявые как pешето, ломай не хочу. Или можно урожай собирать на выходных узлах Tor и создавая открытые wifi-сети.
     
     
  • 3.180, Аноним (-), 15:47, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    какие у тебя там реалии
    на выходных нодах tor?
    Сказочник былиный, ты наш )))
     
  • 2.28, Аноним (104), 23:13, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    + ещё и к сервису доступ, чтобы логи читать.
     
  • 2.30, онанимус (?), 23:17, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а тебя не смущают миллионы admin:admin роутеров, торчащие голой жопой в интернет? и всякие захардкоденные аккаунты "oelinux123" на случай, если дофига умный лаовай сменит дефолтный пароль?
     
     
  • 3.114, Ненавижу SJW (?), 13:40, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И что из этого можно поиметь?

    Как я понимаю это же скорее всего домашний роутер тарчит, а за ним пару хостов

     
     
  • 4.118, авыыва (?), 14:49, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А за домашним рутером сидит какой нить инженер из конторы ABB. Оппа и тейковер какой-то электростанции.
     
     
  • 5.122, Ненавижу SJW (?), 15:02, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А если серьёзно?
     
     
  • 6.215, онанимус (?), 23:21, 30/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А если серьёзно?

    а если серьёзно, то гуглите  "казино взломали через аквариум", или термометр, не помню точно.

    за admin:admin девайсами порой скрывается много интересного, как минимум это доступ в локальную сеть таргета.

     
  • 3.181, Аноним (-), 15:50, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А если не торчит, то что дает
    этот профиль "oelinux123" ?
     
  • 2.33, MPEG LA (ok), 23:26, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Там прямо в заголовке написано: MITM.
     
  • 2.90, Аноним (90), 10:24, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не смутило:
    1. Об MITM написано аж в заголовке статьи.
    2. Куча дырявых роутеров вокруг или роутеров с admin/admin (что равносильно дырявости).
    3. Атакующий может быть тем самым настоящим провайдером "точки беспроводной связи": кафешка / гостиница / etc. со своей точкой доступа. И ничего ломать не надо.
    3.2. да ты сам можешь в кафешке или рядом сесть, включить раздачу вайфая с именем сети Free WiFi (или даже название кафешки вписать) и ловить всех подключившихся.

    Короче, тут куча вполне себе реальных прикладных сценариев.

     
     
  • 3.95, Аноньимъ (ok), 11:05, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Атакующий может быть тем самым настоящим провайдером "точки беспроводной связи": кафешка / гостиница / etc. со своей точкой доступа. И ничего ломать не надо.

    Ну или просто обычный провайдер, любой проводной или безпроводной.

     

  • 1.20, richman1000000 (ok), 23:04, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да это просто тупость. Все об этой фигне знали. Много лет
    Суть в том что вы доверяете сертификату, который рассполагается у разных админов на разных службах.
     
     
  • 2.91, anonymous (??), 10:25, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему "у разных админов"? Проблема не в "разных админах", а в том, что админ рассматривает HTTP и FTP -- как две независимых службы, которые друг на друга не влияют и не вредят. Что позволяет открыть анонимный доступ на FTP, например.
     

  • 1.31, Kuromi (ok), 23:20, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    FTP? Ну очень вовремя,особенно на фоне полного удаления поддержки этого протокола из браузеров.
    Кроме того, FTPS вообще всегда был изрядной редкостью.
     
     
  • 2.59, Аноним (56), 00:21, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Твой любимымй гавняный HTTP там первый в списке
     
  • 2.121, Аноним (8), 14:57, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для этой атаки не нужна поддержка FTP в браузере. После удаления ФТП браузер всё так же остаётся уязвим.
     
     
  • 3.208, Kuromi (ok), 19:46, 15/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Для этой атаки не нужна поддержка FTP в браузере. После удаления ФТП
    > браузер всё так же остаётся уязвим.

    Хахашечки, но уже закрыли - https://bugzilla.mozilla.org/show_bug.cgi?id=1715684
    Грязный хак, конечно, но "правильный" фикс https://bugzilla.mozilla.org/show_bug.cgi?id=1683710 пока в работе.

     

  • 1.36, Онаним (?), 23:34, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Нереал. Тчк.
    Протоколы настолько между собой несовместимы, что подставить ложный ответ без модфикации софта на сервере не получится. А если есть такой доступ - собственно уже все ключи сертификатов есть, и не надо извращаться.
     
     
  • 2.37, Онаним (?), 23:37, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Если кто невдогнал, то:
    1. "Upload": для успешной атаки злоумышленнику требуется затем каким-то образом извлечь сохранённое содержимое. Ключевое слово - "каким-то". Давай, до свидания.
    2. "Download": атакующий в результате каких-то отдельных манипуляций может разместить данные в сервисе - ага, да ещё так, чтобы они вместе с обёрткой исходный протокол сымитировали. "Каких-то" - ключевое слово. Давай, до свидания.
    3. Метод основан на возвращении клиенту части запроса, в котором содержится отправленный атакующим JavaScript-код. Вот только проблемка, снова надо в протокольчик обернуть. Туда же.
     
     
  • 3.42, vitalif (ok), 23:46, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Я нашел уязвимость в замке входной двери! Если злоумышленник каким-то образом зайдет внутрь квартиры и вынесет оттуда запасной ключ, то замок можно будет легко открыть извне!
     
  • 3.45, Sw00p aka Jerom (?), 23:49, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вот только проблемка, снова надо в протокольчик обернуть. Туда же.

    ну да, ток не понятно как у них вот это работает

    220 1237cfa6400d ESMTP Postfix
    HELO example.com
    250 1237cfa6400d
    MAIL FROM: example <script>alert(1);</script>
    555 5.5.4 Unsupported option: <script>alert(1);</script>


     
     
  • 4.46, Онаним (?), 23:55, 09/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только на говносерверах, которые отдают невалидированные данные.
    Dovecot и Exchange мимо, остальные в топку.
     
     
  • 5.141, penetrator (?), 20:16, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    я вот тоже нехрена не понял

    у меня есть 3 сервиса на разных портах, например SMTP, POP3, HTTP

    все на одном домене, и на одном и том же сертификате

    каким образом можно скормить браузеру ответ от моего SMTP сервера?
    ну он же не сожрет это, потому что протокол невалидный, несовместимые команды

    не? я что-то не понял?

     
  • 4.53, Онаним (?), 00:10, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну и блин, браузер, который это отобразит - надо закапывать первым.
    Потому что перед <script>...</script> должны быть HTTP/1.1 200 OK, корректные хедеры, и двойной CRLF.
     
     
  • 5.67, Sw00p aka Jerom (?), 00:36, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну и блин, браузер, который это отобразит - надо закапывать первым.

    Internet Explorer - может все :) в оригинале статьи все расписано и все вопросы отпадают.

     
  • 4.54, Онаним (?), 00:11, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Короче, то, что они смогли <script> выдать - ещё не значит, что он где-то обработается.
    О чём и речь. Свистопляска вокруг потенциальной шкуры сферического медведя Шрёдингера в вакууме.
     
  • 3.86, дауненок (?), 09:54, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    shared-хостинги и дыры в них вот это вот отлично включают, т.е. это утилитарная атака, дополняющая уже существующие дыры и их расширяющая
     
     
  • 4.87, Онаним (?), 09:55, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тот случай, когда никнейм соответствует персонажу.
     
  • 3.187, edo (ok), 03:09, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    если у злоумышленника есть права на аплоад, то вроде бы всё выглядит реальным 1... большой текст свёрнут, показать
     
     
  • 4.188, edo (ok), 04:12, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    аналогично, похоже, можно подсунуть браузеру нужный ответ (с js, например).
     
     
  • 5.192, Онаним (?), 10:23, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С ответом уже сильно сложнее, вплоть до нереалистичности.

    В теории да, можно залить подготовленный файл с хедерами и телом, но надо точно знать, на какой запрос отвечать, иначе MITM сразу же спалится.

     
  • 4.189, Онаним (?), 10:17, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сущая мелочь:
    1) Надо иметь права на FTP-сервере, именно том, что необходимо "подсмотреть", в том числе на аплоад
    2) Надо иметь возможность MITM для соединения клиента, рвать соединение не обязательно, можно проксировать в нужную сторону
    3) Надо ещё как-то определить конкретный запрос, который перенаправлять, тут открытость SNI конечно поможет, SNI давно надо закрывать

    По сути комбинация п.1 и п.2 - это сложно, разные зоны ответственности разных лиц.
    А если (1) получено путём лома сервера - скорее всего смысла в (2-3) уже нет.

     
  • 4.191, Онаним (?), 10:21, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но да, ваше описание атаки таки куда более реалистично, нежели "подмена ответа".

    Это хотя бы действительно сработает, хоть и имеет высокую сложность и малый шанс реализации.

     

  • 1.49, Alexey (??), 00:03, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Простите в чём суть атаки - в контроле над шлюзом? А как на счёт в контроле над провайдером.. или выше..
     
     
  • 2.51, Аноним (51), 00:07, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Магистальные провайдеры давно беспардонно вмешиваются в трафик. Про местячковых я бы особо не переживал -- ты им деньги несёшь.
     
  • 2.52, Онаним (?), 00:08, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Суть атаки - в попытке с самого клиента послать то, что хочется получить в ответ той софтиной, откуда послано.
     
     
  • 3.71, Alexey (??), 02:34, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В наших условиях это сервисная функция ПО стоящего за HTTP, судя по возможностям закладываемых при программировании как клиентов, так и серверов. Будут "чудесней" программировать, будет "чудастей" результат.
     
  • 2.92, anonymous (??), 10:28, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Никогда не пользовались WiFi в кафешке или аэропорту?
     
     
  • 3.132, Alexey (??), 16:52, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет ни чего нового в данной атаке, если им нужно захватить контроль над сегментом. С таким же успехом "мамкин хакер" расшаривает свой wifi дома.
     
     
  • 4.197, anonymous (??), 12:21, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Новое то, что можно обойти буковки "S" в HTTPS обладая доступом лишь к роутеру.
     
  • 3.142, Онаним (?), 20:45, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет :D
    Кроме того, к внедрению в чужой трафик это отношения не имеет.
    Там суть в получении назад кусков отправленного запроса, который в теории позволил бы CORS обойти.
    Но толку нет, потому что чтобы запрос отправить - надо УЖЕ внедриться.
     

  • 1.55, Аноним (56), 00:15, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А кто-то ещё пользуется браузерами для работы с почтой и разрешёнными скриптами?
     
     
  • 2.62, deeaitch (ok), 00:24, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    iPony и Fracta1L
     

  • 1.61, deeaitch (ok), 00:23, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хаха. Хвалёный HTTPS
     
  • 1.66, adsh (ok), 00:34, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Какой ещё SFTP - это часть SSH, речь об FTPS.
     
     
  • 2.68, deeaitch (ok), 00:51, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну кто-же читает?
     

  • 1.70, BrainFucker (ok), 01:34, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > перенаправить на почтовый сервер, в котором используется общий с bank.com TLS-сертификат.

    Ага, только для этого нужно ещё захватить контроль над этим почтовым сервером. Только причём тут высосанная из пальца "уязвимость" в TLS, когда для реализации требуется захват контроля надо сервером?

     
  • 1.72, Аноним (72), 03:11, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "We could confirm that this is indeed the case for Internet Explorer and Edge Legacy, while all other tested browsers do not perform content-sniffing and thus do not execute JavaScript in noisy responses."

    Атаковать MSIE есть способы и попроще :)

     
  • 1.73, Аноним (73), 03:36, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про эту уязвимость знали уже давно, поэтому и убралли ftp mixed content еще год назад
     
  • 1.76, Аноним (73), 06:39, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    https://www.cisco.com/c/dam/global/ru_ru/training-events/2020/pdf/dec5-17.pdf
     
     
  • 2.77, Аноним (77), 07:00, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только все упомянутые в той презентации методы "взлома" TLS сводятся к фразе "Устанавливаем корневой сертификат на клиентское устройство". Там описано как получить доступ к TLS-трафику имея полный контроль над инфраструктурой и всеми рабочими станциями. Это для организации сканирования трафика на предприятиях.
     
     
  • 3.78, Аноним (73), 07:14, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://media.defense.gov/2019/Dec/16/2002225460/-1/-1/0/INFO SHEET%20 MANAGING RISK FROM TRANSPORT LAYER SECURITY INSPECTION.PDF
     

  • 1.79, kusb (?), 08:25, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Смекалочка. Люблю хакеров.
     
  • 1.81, Онаним (?), 09:07, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Ещё одну вишенку на торте забыли.
    Если обсуждать применение из браузера, то чтобы отправить что-то из выданного сайтом кода на соседний порт того же сервера - надо сначала каким-то образом вклиниться в выданный сайтом код, собственно.
    Любители тянуть кучу чужого говна с CDN'очек могут пострадать, конечно, но так им и надо.
     
     
  • 2.82, Онаним (?), 09:09, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и да, если мы уже вклинились в выданный сайтом код - на хрена нам эта "атака" для вклинивания? :D
     
     
  • 3.84, Аноним (73), 09:38, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кто на куче рекламмы сидит им вообще пофиг ломают их или нет, главное бабло да и ваши данные продадут
     
     
  • 4.117, Аноним (-), 14:33, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    bank.com под замком, заходить - ишаком, станешь битым мужиком, а не - просто му-ком
     

  • 1.99, Егор (??), 11:39, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А не удалили бы www - такой бы фигни не было.
     
  • 1.106, КО (?), 12:32, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Куки не храним, JS блокируем.
    Куета.
     
     
  • 2.109, Аноним (109), 12:46, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >JS блокируем.

    К сожалению, в окне браузера может оказаться пусто.

     

  • 1.107, andrey (??), 12:33, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    <script>alert(1);</script> ничего в этом мире не меняется и вот опять :)
     
  • 1.112, Аноним (112), 13:09, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >В ходе MITM-атаки этот запрос, адресованный web-сайту bank.com, можно перенаправить на почтовый сервер, в котором используется общий с bank.com TLS-сертификат

    Минуточку, т.е. вам нужен рутовый доступ к самому серверу, чтобы на нём перенастроить скажем SMTP и выдавать вредоносный код вместо ошибки... Вопрос, зачем вообще вся эта чушь, когда подразумевается, что у атакующего уже есть полный доступ к серверу на котором есть нужные сертификаты? зачем доступ к шлюзу, если можно прямо на сервере порт форварднуть... да блин, доступ уже рутовый, зачем весь этот бред, в чём вообще суть атаки?

     
     
  • 2.113, Аноним (112), 13:12, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    P.S. ощущение, что кто-то шикарно пошутил...
     
  • 2.136, Аноним (136), 18:13, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >доступ уже рутовый, зачем весь этот бред, в чём вообще суть атаки?

    Ну, типа для того, что бы манагерам пришла мысль, у админов отобрать еще больше прав! А то будут перехватывать чужие куки на почтовом сервере!

     
  • 2.165, kmeaw (?), 08:30, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, рутовый доступ не нужен. Достаточно иметь возможность влиять на трафик пользователя, например с помощью DNS направить bank.com на свой $evilserver, который перенаправляет $evilserver:443 на mx.bank.com:465. А затем дать пользователю ссылку на https://bank.com/<script.../>, а после установки соединения направлять последующие запросы из этого <script/> уже на настоящий bank.com:443.
     
     
  • 3.174, Аноним (112), 10:59, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ну апупеть - всего-то нужно иметь корневой сертификат... Опять же зачем все эти пляски с подстановкой других сервисов, если мы уже можем тупо перехватывать трафик и проксировать запросы?
     
     
  • 4.177, kmeaw (?), 14:56, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не можем, потому что у нас нет корневого сертификата. Это расширенный вариант атаки, где на стороне сервера есть скрипт echo.cgi?q=12345, возвращающий строку 12345. Только теперь это делает не веб-сервер, а ftps- или почтовый сервер, находящийся на другой (но тоже принадлежащий тому же владельцу) машине. А злоумышленник подставляет вместо безопасного https-сервера другой сервер, который разговаривает по другому (но тоже завёрнутому в tls) протоколу, ответы которого браузер пользователя ошибочно интерпретирует, как http-ответы.
     
     
  • 5.182, Аноним (112), 16:44, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы кажется забыли, что почтовый сервер, чтобы тупо открыть соединение должны поручкаться с клиентом по TLS, а это значит что сертификат на сервере должен соответствовать адресу атакуемого сервера. Ну что за наркомания...
     
     
  • 6.190, Онаним (?), 10:20, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В этом и смысл атаки - они хотят передать в SMTP HTTP и получить его назад.
    Вот только невозможно это.

    Более реальную атаку мне тут выше обрисовали - да, в теории с помощью этой атаки можно залить куки на FTP, это действительно сработает. В теории.

    На практике там понадобится иметь аккаунт R/W на этом самом FTP, что для того же bank.com крайне маловероятно, и _одновременно_ MITM на клиенте, что вдвойне маловероятно.

     

  • 1.119, gogo (?), 14:53, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прикольно. Но ни один банк не делает голых html интернет-банкингов и не рекомендует пользователям отключить яваскрипт. Ибо программисты работы лишатся.
    Ведь реально скрипты там нах не нужны...
     
  • 1.124, pavlinux (ok), 15:44, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Суть атаки в том, что при наличии контроля над сетевым шлюзом или точкой беспроводного доступа ...

    Опять рут нужен?

     
     
  • 2.130, Аноним (-), 16:25, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, но теперь знаем зачем рут (и всякие *.* серты)
     

  • 1.134, Аноним (136), 18:10, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так, стоп! Какой FTP?
    Его еще несколько лет назад обещали "выпилить" из браузеров!
    Если его поддержки нет в браузере - как он может что то там куда то отправлять, по протоколу "ftp://" ?

    😨

     
     
  • 2.147, pavlinux (ok), 22:08, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Так, стоп! Какой FTP?
    > Его еще несколько лет назад обещали "выпилить" из браузеров!
    > Если его поддержки нет в браузере - как он может что то
    > там куда то отправлять, по протоколу "ftp://" ?
    > 😨

    https://github.com/sergi/jsftp

     

  • 1.148, anonymous (??), 23:41, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >на другой сетевой порт и организовать установку соединения с FTP или почтовым сервером, поддерживающими TLS-шифрование и использующими общий с HTTP-сервером TLS-сертификат

    Никак не вкурю, у атакующего должен быть тру сертификат http сервера или он может свой подпихнуть? Если первое, то в чем проблема. Имея серт и так с трафиком можно обращаться как с не зашифрованным.

     
     
  • 2.149, Аноним (104), 23:45, 10/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    у атакующего никакого серт-а нет.
     
     
  • 3.151, anonymous (??), 00:47, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо Анон, перечитал и с твоим комментом вкурил. Пусть Джа тебе только внятные маны заворачивает.
     
  • 3.152, Аноним (112), 01:59, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А на сервере, который будет принимать соединение и выдавать вредоносный код, от куда тогда сертификат должен взяться?
    Хватит людей путать - вся эта атака полная чушь, подразумевающая, что админ должен профукать сертификат.
     
     
  • 4.153, anonymous (??), 02:14, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >т куда тогда сертификат должен взяться?

    И я не пойму, держатель серта в любом случае контралирует траффик

     
  • 4.166, kmeaw (?), 08:32, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, для успешного проведения атаки достаточно ленивого админа, который вместо выписывания отдельных сертов для www.bank.com и mx.bank.com либо выпишет один на все имена, либо вообще сделает *.bank.com.
     
     
  • 5.167, ыы (?), 09:26, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И? Злоумышленник в этом случае должен иметь доступ либо к инфраструктуре днс имен *.bank.com либо администрировать один из сайтов *.bank.com.

    То есть  паршивой овцой окажется кто-то из команды bank.com. Ну как один из админов яндекс-почты...

     
     
  • 6.168, kmeaw (?), 09:37, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не обязательно, можно атаковать сетевую инфраструктуру. Способов полно - злоумышленник может поднять свою wifi AP, свой DHCP, сделать ARP spoofing на местный рекурсивный DNS, стать IPv6-роутером в IPv4-only сети, автосконфигурировать всем http-прокси с помощью wpad, владеть или атаковать какой-нибудь из маршрутизаторов между пользователем и bank.com.
     
     
  • 7.170, ыы (?), 09:43, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И как это все даст ему доступ к внутренним логам сервиса зактытого TLS?
     
     
  • 8.171, kmeaw (?), 09:53, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Напрямую никак Это даст ему возможность запустить js-код в браузере пользовател... текст свёрнут, показать
     
     
  • 9.173, Аноним (112), 10:56, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Товарищ, мне кажется что вы окончательно запутались Перечитайте ещё раз - мы оп... текст свёрнут, показать
     
     
  • 10.176, kmeaw (?), 14:51, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нет, нужен не сертификат, а наличие другого сервиса с сертификатом, соответствую... большой текст свёрнут, показать
     
     
  • 11.193, Онаним (?), 10:27, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Через mx bank com ты никакой редирект не отдашь - нормальный браузер его не схав... текст свёрнут, показать
     
     
  • 12.194, Онаним (?), 10:32, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    и возможность FTP hijacking меня тоже не парит, потому что соединения данных ра... текст свёрнут, показать
     
  • 5.169, ыы (?), 09:41, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы кстати как-то вот легкомысленно говорите про ленивость админа который выписывает отдельные сертификаты...

    Это возможно если вы бесплатные сертификаты с летскрипта выписываете. А вот если вы покупаете нормальные сертификаты, заверенные, с повышенным доверием - то разница в ценнике между *.bank.com и десятком "чтототам".bank.com будет заметная. И тем более если админ имеет возможность САМ выписывать эти сертификаты, там ценник вообще отрывается на порядок... Для конкретно банка- эти суммы может и не в тягость...но "*.bank.com" ведь для примера приведен. Это ведь может быть и не банк а просто предприятие. Которому все эти траты могут быть и не очень приятны.

     
     
  • 6.172, kmeaw (?), 09:56, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, дело может быть не только в лени, но и в желании сэкономить.

    > может быть и не банк а просто предприятие. Которому все эти траты могут быть и не очень приятны.

    Небольшое предприятие скорее всего воспользуется бесплатным letsencrypt, чтобы избежать трат.

     

  • 1.175, Аноним (175), 12:23, 11/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разве проблема тут не в том, что разным сервисам раздают одинаковые серты, да еще и от банка?
    Значит после взлома маршрутизатора, предполагается взломать еще и ftp
     
     
  • 2.178, kmeaw (?), 15:02, 11/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Разве проблема тут не в том, что разным сервисам раздают одинаковые серты, да еще и от банка?

    Именно в этом.

    > Значит после взлома маршрутизатора, предполагается взломать еще и ftp

    Нет, не придётся. Достаточно направить на другой сервер с тем же сертификатом http-запрос, содержащий контролируемую злоумышленником строку, которую тот вернёт в виде "ошибка: неизвестная команда: GET /строка...". А в случае ftp можно ещё воспользоваться тем, что данные передаются по отдельному соединению (тоже с tls), и тогда не придётся расчитывать на то, что браузер правильно угадает Content-Type.

     
     
  • 3.195, Онаним (?), 11:51, 12/06/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Недостаточно.
    Ответ надо ещё в HTTP обернуть. А то и в HTTP/2.
     

  • 1.179, adolfus (ok), 15:10, 11/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Веб должен оставаться просто вебом, и не пытаться стать платформой.
     
  • 1.186, Аноним (186), 02:02, 12/06/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Как будто проблема только в TLS. Там еще как бы и JavaScript нужен.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру