[Owasp-turkey] Arızayı Bul #5

yilmaz.cankaya at uekae.tubitak.gov.tr yilmaz.cankaya at uekae.tubitak.gov.tr
Thu Oct 22 14:03:47 EDT 2009 


iyi aksamlar arkadaslar
aslında dogrudan CSRF ile POST istegi
olusturmayı degil,  session fixation açıklığını saldırıya
çevirebilmek için kullanılıp kullanılamayacağını kastetmiÅŸ
idim. Biraz daha detaylandırayım. 

Varsayalım ki:
i.
Uygulama, kullanıcı giriÅŸ yapmadan önce bir oturum anahtarı oluÅŸturup
göndermekte ve kullanıcı giriÅŸ yaptıktan sonra da bu oturum bilgisini
kullanmaktadır.
ii. Ayrıca bu arıza kapsamında session fixation'a yol
açacak kod sadece POST istekleri için
çalışmaktadır.

1. Bu varsayımlar geçerli iken,
session fixation açıklığını saldırıya dönüÅŸtürmek
mümkün müdür?
2. Kurbana bir bağlantı
gönderip, bu baÄŸlantıyı ziyaret etmesi saÄŸlanarak bir saldırı
gerçeklenebilir mi? (Burada kritik nokta Bedirhan'ın da belirtmis
olduğu gibi, kullanıcının giriş yapmasını bir şekilde
saÄŸlayabilmektedir)

Saygılar

 
Musa'nin dedigi gibi, XSS varsa daha rahat. Bir cok cesidi olabilir
tabi de POST CSRF'e ornek temel bir html kodu su sekilde olabilir;
 
 

 


    http://server/a.x.">

   




 
 
Hatta buna bile gerek kalmadan bu isi GET istegi ile proxy olarak
yapan servisler var, kaldi ki siz de yazabilirsiniz. Yukarda iframe'in
ismini form element'inin icinde target olarak kullanmak isin gizli
kalmasini sagliyor.
 
Otomatik loginleri mi dusunerek POST CSRF yapilabilir mi diye sordun
Yilmaz?

22 Ekim 2009 11:05 tarihinde Musa Ulker musaulker at gmail.com> yazdı:
 Merhabalar,

Tam
emin olmamakla birlikte, POST CSRF i Ajax ile yapılabilir diye
düÅŸünüyorum. Yani öncesinde XSS yedirirseniz post
CSRF de yedirirsiniz
 :)

BaÅŸka çözümlerde
olabilir

Kolay gelsin

2009/10/22 Yilmaz Cankaya
yilmaz.cankaya at uekae.tubitak.gov.tr>:


 
> Haklısın Bedirhan.
> Ornegi de bu yüzden
gönderdim. Kod çok masum gözükmesine ragmen,
> "Application Logic Flaw" kategorisinde olduÄŸu için
herhangi bir araç
> kullanılarak otomatize edilelerek
tespit edilmesi güç.
 >
> Diger taraftan,
manuel olarak  blackbox testi yapmak mümkün olabilir
> bazı durumlarda.  Özellikle kullanıcıya login olmadan
önce gönderilen
> oturum anahtarları, login olduktan
sonra da kullanılmaya devam ediyor ise.
 >
> Cevap
bulunması gereken soru şu:
> Kullanıcı adına GET istekleri
göndermek mümkün olmakla beraber, POST
> talebi
içeren bir CSRF yapılabilir mi?
>
> Saygılar
>
>
> Bedirhan Urgun wrote:
 >> ? :
operatorunu kullanarak tek satirda yazarsan abarti olmaz, yani
>> "yuh, tek satirda yazmis!" demezler ama iste bu
kadarcik kod guvenlik
>> zafiyetine yol aciyor.
>>
Session Fixation http://www.owasp.org/index.php/Session_Fixation>

>> diyorum. Tabi butun bu parcanin oturum yonetimi icin
kullanildigini
>> dusunerek. :)
>>
>>
Genelde kullanilan container'lardan kaynaklaniyor bu zafiyet ama
>> gelistirerek de basarmak mumkun. :)) Yanliz ilginc olan sey,
blackbox
 >> (karakutu) testi ile sanki bir pincik daha kolay
bulunup, kontrol
>> edilebilir gibi degil mi? Ayni sey CSRF
icin de gecerli.
>>
>> bedirhan
>> 21
Ekim 2009 01:11 tarihinde yilmaz.cankaya at uekae.tubitak.gov.tr

>> yilmaz.cankaya at uekae.tubitak.gov.tr>> yazdı:
>>
>>     Bedirhan baÅŸladı, güzel ve
ögretici oldu.. Ben de faydalanmak
 >>     adına
bir adet göndereyim..
>>
>>     Asıl
kod javada idi. Genelleyip yazıyorum.
>>     Not:
getParameter('session_id') ile  GET yada POST ile gönderilen
>>     session_id deÄŸeri okunuyor.
 >>
>>     if (getParameter('session_id') is null)
>>     then
>>        
sessionID= createSession();
>>     else
>>
        sessionID= getParameter('session_id');

>>     end;
>>
>>    
Saygılar
>>
>>    
_______________________________________________
>>  
  Owasp-turkey mailing list
>>     Owasp-turkey at lists.owasp.org
Owasp-turkey at lists.owasp.org>
 >>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>>
>>
>> --
>> Bedirhan Urgun
 >> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
 >> Türkçe Web Uygulama GüvenliÄŸi
E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
 >
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
 >





--
M.Musa Ülker


 
_______________________________________________
Owasp-turkey mailing list
Owasp-turkey at lists.owasp.org
https://lists.owasp.org/mailman/listinfo/owasp-turkey
 




 

-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama GüvenliÄŸi E-Posta Listesine
üye olmak için: 
 https://lists.owasp.org/mailman/listinfo/owasp-turkey
   

-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091022/7bbc9be2/attachment.html

More information about the Owasp-turkey mailing list