ugrás a tartalomhoz

Stealing passwords with autocomplete and XSS

inf · 2013. Dec. 7. (Szo), 18.20
Jelszó lopás autocomplete-tel
 
1

Jó lenne egy megbízható demo

H.Z. · 2013. Dec. 7. (Szo), 18.46
Jó lenne egy megbízható demo oldal hozzá - bár van egy olyanom, hogy ha a Firefox NoScript pluginja működik, akkor XSS-től nem nagyon kell tartani.
9

http://www.wisec.it/historySt

inf · 2013. Dec. 7. (Szo), 21.16
leírás

demo

Csak saját felelősségre, nem tudom, hogy mit csinálnak a megszerzett adatokkal :D

A jelszó lopás egy érdekesebb dolog, de nem tartom kizártnak, ha az email címekkel viszonylag simán megy... (legalábbis firefox-ban)
2

Hát ez úgy hülyeség, ahogy

tgr · 2013. Dec. 7. (Szo), 19.34
Hát ez úgy hülyeség, ahogy van.
4

Na akkor ideje alaposabban

inf · 2013. Dec. 7. (Szo), 20.28
Na akkor ideje alaposabban végigolvasnom. Amikor kiraktam, akkor éppen más foglalkoztatott, ez csak úgy útbaesett...
5

Rossz az eredeti link, amit

inf · 2013. Dec. 7. (Szo), 20.40
Rossz az eredeti link, amit küldtem, ezen egy sima keylogger van csak rajta, nem is csinál autocomplete-es lopást. :S

http://www.slideshare.net/jeremiahgrossman/breaking-browsers-hacking-autocomplete-blackhat-usa-2010

Van valamekkora alapja, de ki kéne próbálni élesben is. Nem minden böngésző sebezhető ilyesmire, meg valószínűleg azóta már javítva lettek. Mindenesetre a slide-on van két kifejezetten autocomplete-es lopás, kérdés, hogy vajon jelszavakra működnek e, vagy csak felhasználói adatokra...

Ahogy nézem csak valószínűleg safari-ból voltak kinyerhetőek így a felhasználói adatok, a többi böngésző eleve védett lehetett... Lehetne írni teszt scriptet, majd talán meg is teszem valamikor...
7

i-know-who-your-name-where-yo

inf · 2013. Dec. 7. (Szo), 21.04
i-know-who-your-name-where-you-work-and.html

Itt van rá proof of concept demo, csak safariban megy, és 2010-es, elvileg 4-es és 5-ös verziók sebezhetőek... Azért megnyugtató, hogy a trendi böngészőkben nincs ekkora baromi nagy sebezhetőség... Az XSS-es jelszó lopásra is igazán kitalálhatnának még valamit...
8

Van fifikásabb megoldás, ami

inf · 2013. Dec. 7. (Szo), 21.12
Van fifikásabb megoldás, ami már a legtöbb böngészőben működik, legalábbis működött 2011-ben. Csak rá kell venni a felhasználót, hogy használja a nyilakat.

http://www.ghacks.net/2011/10/25/browser-autocomplete-feature-may-reveal-personal-data/

Itt a demo:
http://www.wisec.it/historySteal/3d.html

Még most is működik firefox-ban, csak annyi extra van, hogy a bal felső sarokban megjelenik az autocomplete box az email címekkel, amiket bejelentkezéskor használok... Elég ijesztő...
11

Oké, ennek már legalább köze

tgr · 2013. Dec. 7. (Szo), 22.33
Oké, ennek már legalább köze van az autocomplete-hoz :-) de még mindig nem túl meggyőző. Ugye arról van szó, hogy a hekker feltöri az oldalt, te odamész a login űrlapra, a böngésző automatikusan kitölti a jelszót, és a támadó hozzáfér. A gyakorlati jelentősége ennek nulla közeli, mert amikot beírod és megpróbálsz bejelentkezni, amúgy is hozzáférne.

Nyilván ha a támadó hozzáfér ahhoz az oldalhoz, amire be szoktál jelentkezni, akkor közel bármit meg tud csinálni, többek között a tárolt jelszavadat is ki tudja halászni; erre vannak egészen pihent módszerek is (a kedvencem a bruteforce-olás ligatúrákkal), de ennek az impaktja kicsi, pont mert ha már adott az XSS rés, a támadó úgyis mindent meg tud csinálni...
12

Ja, de a demo-nak nem sok

inf · 2013. Dec. 8. (V), 00.04
Ja, de a demo-nak nem sok köze van a google vagy facebook domain-ekhez, mégis ki tudta nyerni az email címet, amit facebook bejelentkezéshez használok... Szóval ehhez úgy látszik nem is kell XSS... Nem néztem még meg, hogy hogyan csinálta, jelenleg REST-el foglalkozok, a security témakör most csak másodlagos...
14

Sima autocomplete (nem a

tgr · 2013. Dec. 8. (V), 00.17
Sima autocomplete (nem a jelszókezelő, hanem az alap; az nincs domainre korlátozva). Gondolom valami egyedi nevet adnak ezek az oldalak az űrlapnak, ami utánozható. Ügyes, de még ez sem túl veszélyes szerintem (esetleg ha hitelkártya-adatok lopására fel lehet valahogy használni).
15

Nem valószínű, SSL-nél nem

inf · 2013. Dec. 8. (V), 12.10
Nem valószínű, SSL-nél nem jegyez meg semmit az automatikus kiegészítés...
16

hol?

Poetro · 2013. Dec. 8. (V), 15.37
Melyik böngészőben?
17

Good point. Azt írták :D meg

inf · 2013. Dec. 8. (V), 18.00
Good point. Azt írták :D meg egyébként így lenne logikus...
Most, hogy így belegondolok ez nem igaz, mármint facebook és gmail is titkosított, és mégis megjegyzi... Legközelebb rendesen utánakeresek mielőtt ilyen kijelentéseket teszek...

Valószínűleg rosszul emlékszem, és nem a megjegyzésre írtak ilyesmit, hanem az XSS-re. Ott ha jól emlékszem szólni szokott, ha titkosított oldalról nem titkosítottra lépsz át...
18

Itt nincs semmilyen

tgr · 2013. Dec. 8. (V), 18.57
Itt nincs semmilyen oldalátlépés, egyszerűen a böngésző nem köti oldalhoz az automatikus űrlapkiegészítést, csak az űrlapmező nevéhez. Ez általában hasznos dolog, mert ha A oldalon már kitöltötted a "lakcím" és "kedvenc színe" mezőket, akkor B, C, és D oldalakon nem kell újra; de nyilván azzal jár, hogy tetszőleges E oldal is könnyen hozzáférhet.
19

Ja gondolom mindegyik

inf · 2013. Dec. 8. (V), 23.48
Ja gondolom mindegyik oldalhoz van speckó mező név, azért lehet kiválasztani, hogy facebook, twitter, gmail, etc... Mindegyiknél más lehet a login mező neve. Jó, hát erre is fény derült...
3

XSS

Poetro · 2013. Dec. 7. (Szo), 20.02
Ha XSS van a távoli oldalon az már régen rossz, és akkor nem csak a jelszavadat lopj el, hanem sok más dolgot is csinál helyetted. És ez csak akkor műkôdik, ha az autocomplete rosszul van megoldva.
6

Yepp a jelszó lopás csak

inf · 2013. Dec. 7. (Szo), 20.58
Yepp a jelszó lopás csak XSS-el megy. A személyes adatok megszerzéséhez szerintem nincs szükség XSS-re. Nekem legalábbis úgy rémlik, hogy a name, company, etc... mezőket úgy általában kitölti magától a firefox is, nem kell begépelni őket minden egyes oldalon külön külön.

Ahogy nézem, csak safari volt sebezhető ezzel.
10

A Firefox egyáltalán nem

tgr · 2013. Dec. 7. (Szo), 22.17
A Firefox egyáltalán nem csinál ilyet magától. A Chrome igen, de az első mezőt ott is neked kell kitöltened. Másrészt ezek tipikusan nem túl érzékeny adatok (arra szerintem minden böngésző figyel, hogy hitelkártyakódnak tűnő adatot ne mentsen a form wizardba).
13

Hát nekem az email cím,

inf · 2013. Dec. 8. (V), 00.10
Hát nekem az email cím, teljes név, lakcím, telefonszám, stb... mind érzékeny adatnak számít... Valahol elég csak névvel és lakcímmel azonosítanod magad. Láttam már pár csalókról szóló filmet, és ezeket az információkat lazán fel tudják használni ellened. Nyilván addig nincs gond, amíg ezek egy tucat adatbázisba kerülnek, amit reklám célból adnak el. A nagyobb para akkor van, amikor visszaélnek ezekkel az adatokkal, és mondjuk amíg dolgozol felhívják a lakatost, hogy kéne egy zárcsere, megadják a neved és a lakcímed, aztán visznek mindent a házból, stb...