基础认证钓鱼漏洞-通杀所有可插入外部内容的网站

/ 12评 / 0

漏洞背景(来自乌云):

http://www.wooyun.org/bugs/wooyun-2012-015248

漏洞作者: imlonghao

漏洞类型: 设计缺陷/逻辑错误

漏洞状态: 漏洞已经通知厂商但是厂商忽略漏洞(这洞暂时真没法补)

漏洞详情

简要描述:

利用的是xsser.me的基础认证钓鱼,并成功钓到用户数据

详细说明:

当在Discuz中回帖,插入一张很奇葩的图片时,可能就会导致用户被盗号。

http://xsser.me/authtest.php?id=Ayuk1y&[email protected]

例如上面那个地址,可以用图片来引用之,然后回帖,当用户看到这张图片的时候,就会触发提示登陆框。

这个地址是一个401头
HTTP/1.1 401 Unauthorized

当输入密码后,会重定向到收集数据的页面,接着,你们密码就被盗了。

我为什么认为这个是一个漏洞:
1、用户网站大多都是提醒用户不要再站外输入自己的账号密码,但是,现在将代码插入到网站内部,用户有认为这是在网站内部,所以就输入了自己的密码。

2、经过试验,成功钓到了用户的数据

3、不仅仅是Discuz,需要网站都支持引用一张网络图片,并没有对图片的HTTP头进行检验。基础认证钓鱼很容易蔓延开来。。

4、之前的钓鱼过程是:黑客设立钓鱼页——通过短信息等传播这个地址——用户访问——用户受骗
而现在是:黑客在帖子中插入钓鱼信息——用户访问——用户受骗
显然,就少了一个非常繁琐的步骤。

例如,在一个论坛中,我将那个图片插在签名中,然后几乎每个帖子都去回复,然后,用户基本上就是去到哪里都能看到我的框框。。。。-,-然后后果你猜?!

部分浏览器不支持

漏洞证明:

以360论坛和吾爱破解论坛做了个试验。。。

以上就是漏洞的详细描述,下面我们来看空白牛牛对此漏洞的点评

示例和原理

示例网址:
http://finance.huagu.com/rdsm/1211/135648.html

打开这网址的时候肯定是弹出输入帐号密码的提示框了

 

查看上述示例网址的源代码  很容易发现 


这个代码是诱发登录窗口页面的元凶

这个代码可以看出

1. 这个图片显示为1X1  即 实际上的不可见
一般只有用于统计的图片这样设置  而这个作为分割线的图片这样显示  显然是非常可疑的

2.获取这个图片需要登录  即弹出的那个登录框

类似于许多论坛游客是没有下载权限的
点击下载附件  会接到提示 要求你登录 原理是一样的

只要你试图访问

http://cms2.huagu.com/

这个服务器  都需要登录
然后  不管登录成功与否  特意构造的服务器都会记录你的登录ID和key  这样 钓鱼者就能成功获取到了所需

这就是那个所谓基础认证钓鱼的攻击原理

构造攻击方式:

设置一个服务器A  
设置整个服务器或者部分内容要求权限 登录   并设置记录所有登录ID和密码无论是否验证通过 
服务器提示加入诱导性内容。诸如(登录超时,请重新登录 等等)
在服务器B的网页添加属于服务器A的元素
比如回帖时插入图片,个性签名时的图片,此类方法权限要求低,无需直接对服务器B发起攻击提权。
(服务器A和B可以是相同域名,只要你能把服务器B给黑了)
【常见的可以使用插入图片等,实际上,任何元素,不局限于图片,只要是对服务器A的权限内容发出请求,都会有验证弹窗】
坐等上钩,定期查看服务器A的日志即可获取受害者的ID和key

攻击防御办法:

这个所谓基础认证钓鱼,就技术上而言毫无亮点,唯一的思路亮点是思路猥琐。。。

将来应该可以从浏览器层面实现 对访问域名的跨站登录弹窗 过滤【我猜的】
即在访问服务器B时 服务器A的弹窗是默认不被弹出的[此防御方法在当服务器AB是同一域名时,失效]

只要知道了正常访问是不会有这种界面丑陋的登录弹窗  不去输入ID和key
这种钓鱼就毫无价值了
而且  一般的  弹窗 上的服务器域名与访问的主域名  不一致 也应察觉到可疑
不过 对于中老年人和小白而言!

========================================================================

这个漏洞目前尚无一个好的解决方法,当然,对于经常上网的的朋友来说被骗的几率很小,但是对于此类弹窗,并且是在浏览官方帖子是弹出来的,防范意识就会淡下来,不仔细观察的话极有可能造成帐号密码的丢失。今早去emlog看到一个朋友发帖子问论坛出什么状况,进去一看原来就是在浏览其他帖子的时候弹出了此漏洞的帐号密码提示框,不过还好lz似乎没去登陆。此漏洞应用的范围太广,而靠技术手段现目前还不能完美解决。从漏洞个人觉得危害最大的就是论坛,所以希望开设论坛的各位站长在看到的时候及时在论坛公告中告知用户这一漏洞的情况来避免一系列账户被盗问题,也可以让用户使用猎豹浏览器或者安装金山毒霸,遇到此类网站会弹出提示,360或其他的一些闪入软件公司暂时还没更新这一提示功能,但我想应该就在这几天了.

《 “基础认证钓鱼漏洞-通杀所有可插入外部内容的网站” 》 有 12 条评论

  1. 年少轻狂说道:

    这个有意思啊。现在还有用?

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注