[Owasp-turkey] Arızayı Bul #5

Bedirhan Urgun bedirhanurgun at gmail.com
Mon Oct 26 03:06:31 EDT 2009


i ve ii varsayimlarina, bir ucuncuyu ekleyelim;

iii. Kurbanin hedef sitede Firefox'un "Remember Me" ozelligini aktif etmis
olsun.

Hedefim, kurbani gizli bir POST istegi ile uygulamaya zorla sokmak. Hedef
siteye gizli POST yapildiginda "acaba Firefox Remember Me ozelligini
kullanarak otomatik olarak username/password'u otomatik olarak dolduruyor
mu?" gibi naif bir dusunceye kapildim, ancak basarisiz :)

Not: Bu hedefin yan sonucu, username/password'e saldirgan kendi degerlerini
koyabilir ve kurbani kendisiymis gibi bir uygulamaya sokabilir. Bu durumda
neler yapilir, ayri bir konu.


26 Ekim 2009 07:14 tarihinde Yilmaz Cankaya <
yilmaz.cankaya at uekae.tubitak.gov.tr> yazdı:

> Aşağıdaki konuyu da kapatmış olmak için:
> (i) varsayımı halen yaygın kullanılan uygulamalar tarafından
> gerçeklenmektedir.
>  Örnegin Oracle AS 10g kurulumunda (diagnostic =no degil ise)
> http://sunucu:port/forms/lservlet?ifcmd=getinfo ( /forms/lservlet kısmı
> kuruluma göre degisebilir )
> çağırır iseniz,  uygulamayı normal çağırdığınızda göndereceği session_id
> degerlerinden birini gönderecektir ve bunu login olunması durumunda
> kullanacaktır.
> Joomla da (i) nolu varsayımı gerçekleyen bir uygulama..
>
> Sonuç olarak: varsayım (ii) de  doğru ise, doğrudan session fixation
> saldırısının gerçeklenebilmesi için,  kullanıcı adına sunucuya
> gönderecegimiz POST talebinin,  internet tarayıcısında kullanıcının
> login olmasını beklediğimiz sayfayı açması gerekiyor ki bu mümkün
> degil.  Kullanıcının zaten bu sayfayı tarayıcıda açık tutması durumunda,
> saldırının en azından gerçeklenebilme ihtimali var.
>
> Saygılar
>
>
>
> yilmaz.cankaya at uekae.tubitak.gov.tr wrote:
> > iyi aksamlar arkadaslar
> > aslında dogrudan CSRF ile POST istegi olusturmayı degil,  session
> > fixation açıklığını saldırıya çevirebilmek için kullanılıp
> > kullanılamayacağını kastetmiş idim. Biraz daha detaylandırayım.
> >
> > Varsayalım ki:
> > i. Uygulama, kullanıcı giriş yapmadan önce bir oturum anahtarı
> > oluşturup göndermekte ve kullanıcı giriş yaptıktan sonra da bu oturum
> > bilgisini kullanmaktadır.
> > ii. Ayrıca bu arıza kapsamında session fixation'a yol açacak kod
> > sadece POST istekleri için çalışmaktadır.
> >
> > 1. Bu varsayımlar geçerli iken, session fixation açıklığını saldırıya
> > dönüştürmek mümkün müdür?
> > 2. Kurbana bir bağlantı gönderip, bu bağlantıyı ziyaret etmesi
> > sağlanarak bir saldırı gerçeklenebilir mi? (Burada kritik nokta
> > Bedirhan'ın da belirtmis olduğu gibi, kullanıcının giriş yapmasını bir
> > ÅŸekilde saÄŸlayabilmektedir)
> >
> > Saygılar
> >
> > Musa'nin dedigi gibi, XSS varsa daha rahat. Bir cok cesidi olabilir
> > tabi de POST CSRF'e ornek temel bir html kodu su sekilde olabilir;
> >
> >
> > //
> > //
> > //
> > /http://server/a.x.">/
> >
> > /   /
> > //
> > /
> > /
> > //
> >
> >
> > Hatta buna bile gerek kalmadan bu isi GET istegi ile proxy olarak
> > yapan servisler var, kaldi ki siz de yazabilirsiniz. Yukarda iframe'in
> > ismini form element'inin icinde target olarak kullanmak isin gizli
> > kalmasini sagliyor.
> >
> > Otomatik loginleri mi dusunerek POST CSRF yapilabilir mi diye sordun
> > Yilmaz?
> > 22 Ekim 2009 11:05 tarihinde Musa Ulker musaulker at gmail.com> yazdı:
> >
>  >     Merhabalar,
> >
> >     Tam emin olmamakla birlikte, POST CSRF i Ajax ile yapılabilir diye
> >     düşünüyorum. Yani öncesinde XSS yedirirseniz post CSRF de
> yedirirsiniz
> >     :)
> >
> >     Başka çözümlerde olabilir
> >
> >     Kolay gelsin
> >
> >     2009/10/22 Yilmaz Cankaya yilmaz.cankaya at uekae.tubitak.gov.tr>:
> >
> >     > Haklısın Bedirhan.
> >     > Ornegi de bu yüzden gönderdim. Kod çok masum gözükmesine ragmen,
> >     > "Application Logic Flaw" kategorisinde olduğu için herhangi bir
> araç
> >     > kullanılarak otomatize edilelerek tespit edilmesi güç.
> >     >
> >     > Diger taraftan, manuel olarak  blackbox testi yapmak mümkün
> olabilir
> >     > bazı durumlarda.  Özellikle kullanıcıya login olmadan önce
> >     gönderilen
> >     > oturum anahtarları, login olduktan sonra da kullanılmaya devam
> >     ediyor ise.
> >     >
> >     > Cevap bulunması gereken soru şu:
> >     > Kullanıcı adına GET istekleri göndermek mümkün olmakla beraber,
> POST
> >     > talebi içeren bir CSRF yapılabilir mi?
> >     >
> >     > Saygılar
> >     >
> >     >
> >     > Bedirhan Urgun wrote:
> >     >> ? : operatorunu kullanarak tek satirda yazarsan abarti olmaz, yani
> >     >> "yuh, tek satirda yazmis!" demezler ama iste bu kadarcik kod
> >     guvenlik
> >     >> zafiyetine yol aciyor.
> >     >> Session Fixation http://www.owasp.org/index.php/Session_Fixation>
> >     >> diyorum. Tabi butun bu parcanin oturum yonetimi icin
> kullanildigini
> >     >> dusunerek. :)
> >     >>
> >     >> Genelde kullanilan container'lardan kaynaklaniyor bu zafiyet ama
> >     >> gelistirerek de basarmak mumkun. :)) Yanliz ilginc olan sey,
> >     blackbox
> >     >> (karakutu) testi ile sanki bir pincik daha kolay bulunup, kontrol
> >     >> edilebilir gibi degil mi? Ayni sey CSRF icin de gecerli.
> >     >>
> >     >> bedirhan
> >     >> 21 Ekim 2009 01:11 tarihinde yilmaz.cankaya at uekae.tubitak.gov.tr
> >     >> yilmaz.cankaya at uekae.tubitak.gov.tr>> yazdı:
> >     >>
> >     >>     Bedirhan başladı, güzel ve ögretici oldu.. Ben de faydalanmak
> >     >>     adına bir adet göndereyim..
> >     >>
> >     >>     Asıl kod javada idi. Genelleyip yazıyorum.
> >     >>     Not: getParameter('session_id') ile  GET yada POST ile
> >     gönderilen
> >     >>     session_id deÄŸeri okunuyor.
> >     >>
> >     >>     if (getParameter('session_id') is null)
> >     >>     then
> >     >>         sessionID= createSession();
> >     >>     else
> >     >>         sessionID= getParameter('session_id');
> >     >>     end;
> >     >>
> >     >>     Saygılar
> >     >>
> >     >>     _______________________________________________
> >     >>     Owasp-turkey mailing list
> >     >>     Owasp-turkey at lists.owasp.org
> >     <mailto:Owasp-turkey at lists.owasp.org> Owasp-turkey at lists.owasp.org>
> >     >>     https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >     >>
> >     >>
> >     >>
> >     >>
> >     >> --
> >     >> Bedirhan Urgun
> >     >> http://www.webguvenligi.org <http://www.webguvenligi.org/>
> >     >> http://www.owasp.org/index.php/Turkey
> >     >>
> >     >> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> >     >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >     >
> >     > _______________________________________________
> >     > Owasp-turkey mailing list
> >     > Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
> >     > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >     >
> >
> >
> >
> >     --
> >     M.Musa Ãœlker
> >
> >     _______________________________________________
> >     Owasp-turkey mailing list
>  >     Owasp-turkey at lists.owasp.org <mailto:Owasp-turkey at lists.owasp.org>
> >     https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> >
> >
> >
> >
> > --
> > Bedirhan Urgun
> > http://www.webguvenligi.org
> > http://www.owasp.org/index.php/Turkey
> >
> > Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
> > ------------------------------------------------------------------------
> >
> > _______________________________________________
> > Owasp-turkey mailing list
> > Owasp-turkey at lists.owasp.org
> > https://lists.owasp.org/mailman/listinfo/owasp-turkey
> >
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>



-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091026/80594390/attachment.html 


More information about the Owasp-turkey mailing list