[Owasp-turkey] Arızayı Bul #5

Yilmaz Cankaya yilmaz.cankaya at uekae.tubitak.gov.tr
Mon Oct 26 01:14:29 EDT 2009


Aşağıdaki konuyu da kapatmış olmak için:
(i) varsayımı halen yaygın kullanılan uygulamalar tarafından 
gerçeklenmektedir.
 Örnegin Oracle AS 10g kurulumunda (diagnostic =no degil ise)
http://sunucu:port/forms/lservlet?ifcmd=getinfo ( /forms/lservlet kısmı 
kuruluma göre degisebilir )
çağırır iseniz,  uygulamayı normal çağırdığınızda göndereceği session_id 
degerlerinden birini gönderecektir ve bunu login olunması durumunda 
kullanacaktır.
Joomla da (i) nolu varsayımı gerçekleyen bir uygulama..

Sonuç olarak: varsayım (ii) de  doğru ise, doğrudan session fixation 
saldırısının gerçeklenebilmesi için,  kullanıcı adına sunucuya 
gönderecegimiz POST talebinin,  internet tarayıcısında kullanıcının 
login olmasını beklediğimiz sayfayı açması gerekiyor ki bu mümkün 
degil.  Kullanıcının zaten bu sayfayı tarayıcıda açık tutması durumunda, 
saldırının en azından gerçeklenebilme ihtimali var.

Saygılar



yilmaz.cankaya at uekae.tubitak.gov.tr wrote:
> iyi aksamlar arkadaslar
> aslında dogrudan CSRF ile POST istegi olusturmayı degil,  session 
> fixation açıklığını saldırıya çevirebilmek için kullanılıp 
> kullanılamayacağını kastetmiş idim. Biraz daha detaylandırayım.
>
> Varsayalım ki:
> i. Uygulama, kullanıcı giriş yapmadan önce bir oturum anahtarı 
> oluşturup göndermekte ve kullanıcı giriş yaptıktan sonra da bu oturum 
> bilgisini kullanmaktadır.
> ii. Ayrıca bu arıza kapsamında session fixation'a yol açacak kod 
> sadece POST istekleri için çalışmaktadır.
>
> 1. Bu varsayımlar geçerli iken, session fixation açıklığını saldırıya 
> dönüştürmek mümkün müdür?
> 2. Kurbana bir bağlantı gönderip, bu bağlantıyı ziyaret etmesi 
> sağlanarak bir saldırı gerçeklenebilir mi? (Burada kritik nokta 
> Bedirhan'ın da belirtmis olduğu gibi, kullanıcının giriş yapmasını bir 
> şekilde sağlayabilmektedir)
>
> Saygılar
>
> Musa'nin dedigi gibi, XSS varsa daha rahat. Bir cok cesidi olabilir 
> tabi de POST CSRF'e ornek temel bir html kodu su sekilde olabilir;
>  
>  
> //
> // 
> //
> /http://server/a.x.">/
>
> /   /
> //
> /
> /
> //
>  
>  
> Hatta buna bile gerek kalmadan bu isi GET istegi ile proxy olarak 
> yapan servisler var, kaldi ki siz de yazabilirsiniz. Yukarda iframe'in 
> ismini form element'inin icinde target olarak kullanmak isin gizli 
> kalmasini sagliyor.
>  
> Otomatik loginleri mi dusunerek POST CSRF yapilabilir mi diye sordun 
> Yilmaz?
> 22 Ekim 2009 11:05 tarihinde Musa Ulker musaulker at gmail.com> yazdı:
>
>     Merhabalar,
>
>     Tam emin olmamakla birlikte, POST CSRF i Ajax ile yapılabilir diye
>     düşünüyorum. Yani öncesinde XSS yedirirseniz post CSRF de yedirirsiniz
>     :)
>
>     Başka çözümlerde olabilir
>
>     Kolay gelsin
>
>     2009/10/22 Yilmaz Cankaya yilmaz.cankaya at uekae.tubitak.gov.tr>:
>      
>     > Haklısın Bedirhan.
>     > Ornegi de bu yüzden gönderdim. Kod çok masum gözükmesine ragmen,
>     > "Application Logic Flaw" kategorisinde olduğu için herhangi bir araç
>     > kullanılarak otomatize edilelerek tespit edilmesi güç.
>     >
>     > Diger taraftan, manuel olarak  blackbox testi yapmak mümkün olabilir
>     > bazı durumlarda.  Özellikle kullanıcıya login olmadan önce
>     gönderilen
>     > oturum anahtarları, login olduktan sonra da kullanılmaya devam
>     ediyor ise.
>     >
>     > Cevap bulunması gereken soru şu:
>     > Kullanıcı adına GET istekleri göndermek mümkün olmakla beraber, POST
>     > talebi içeren bir CSRF yapılabilir mi?
>     >
>     > Saygılar
>     >
>     >
>     > Bedirhan Urgun wrote:
>     >> ? : operatorunu kullanarak tek satirda yazarsan abarti olmaz, yani
>     >> "yuh, tek satirda yazmis!" demezler ama iste bu kadarcik kod
>     guvenlik
>     >> zafiyetine yol aciyor.
>     >> Session Fixation http://www.owasp.org/index.php/Session_Fixation>
>     >> diyorum. Tabi butun bu parcanin oturum yonetimi icin kullanildigini
>     >> dusunerek. :)
>     >>
>     >> Genelde kullanilan container'lardan kaynaklaniyor bu zafiyet ama
>     >> gelistirerek de basarmak mumkun. :)) Yanliz ilginc olan sey,
>     blackbox
>     >> (karakutu) testi ile sanki bir pincik daha kolay bulunup, kontrol
>     >> edilebilir gibi degil mi? Ayni sey CSRF icin de gecerli.
>     >>
>     >> bedirhan
>     >> 21 Ekim 2009 01:11 tarihinde yilmaz.cankaya at uekae.tubitak.gov.tr
>     >> yilmaz.cankaya at uekae.tubitak.gov.tr>> yazdı:
>     >>
>     >>     Bedirhan başladı, güzel ve ögretici oldu.. Ben de faydalanmak
>     >>     adına bir adet göndereyim..
>     >>
>     >>     Asıl kod javada idi. Genelleyip yazıyorum.
>     >>     Not: getParameter('session_id') ile  GET yada POST ile
>     gönderilen
>     >>     session_id değeri okunuyor.
>     >>
>     >>     if (getParameter('session_id') is null)
>     >>     then
>     >>         sessionID= createSession();
>     >>     else
>     >>         sessionID= getParameter('session_id');
>     >>     end;
>     >>
>     >>     Saygılar
>     >>
>     >>     _______________________________________________
>     >>     Owasp-turkey mailing list
>     >>     Owasp-turkey at lists.owasp.org
>     <mailto:Owasp-turkey at lists.owasp.org> Owasp-turkey at lists.owasp.org>
>     >>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
>     >>
>     >>
>     >>
>     >>
>     >> --
>     >> Bedirhan Urgun
>     >> http://www.webguvenligi.org <http://www.webguvenligi.org/>
>     >> http://www.owasp.org/index.php/Turkey
>     >>
>     >> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>     >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>     >
>     > _______________________________________________
>     > Owasp-turkey mailing list
>     > Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
>     > https://lists.owasp.org/mailman/listinfo/owasp-turkey
>     >
>
>
>
>     --
>     M.Musa Ülker
>      
>     _______________________________________________
>     Owasp-turkey mailing list
>     Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
>
>  
>
> -- 
> Bedirhan Urgun
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> ------------------------------------------------------------------------
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>   



More information about the Owasp-turkey mailing list