Каждый безопасник должен держать руку на пульсе и быть в курсе значимых публикаций и презентаций по нашему с тобой профилю. Не всем удается постоянно путешествовать по миру и посещать хакерские конференции (завидуем белой завистью Денису Макрушину), но с некоторых пор для наших подписчиков это перестало быть проблемой. Первую часть статьи, посвященную актуальным ИБ-докладам, которые стоит увидеть, мы опубликовали в начале февраля этого года. Судя по комментам, читателям это понравилось, поэтому мы продолжаем. ???? В этом выпуске — самые интересные публикации, посвященные безопасности WebApp.
Tomer Cohen. Game of Chromes: Owning the Web with Zombie Chrome Extensions // DEF CON. 2017
16 апреля 2016 года армия ботов штурмовала серверы Wix, создавая новые аккаунты и публикуя в массовом порядке теневые веб-сайты. Атака велась вредоносным расширением браузера Chrome, которое в результате самораспространения было установлено на десятках тысяч девайсов. Этот базирующийся на расширениях бот использовал Wix’овую платформу веб-сайтов и Facebook’овский мессенджер — для самораспространения среди пользователей этих интернет-сервисов. Два месяца спустя та же самая атака повторилась. На этот раз злоумышленники инфицировали всплывающие уведомления Facebook’а — так, чтобы при клике по этому уведомлению управление передавалось на вредоносный JSE-файл, который устанавливал контрабандное расширение в Chrome-браузере жертвы. Затем это контрабандное расширение эксплуатировало Facebook’овский мессенджер еще раз — теперь уже чтобы распространить себя еще большему числу жертв.
Анализируя эти две бот-атаки, поражаешься их неуловимости, а особенно тому, как они обходят веб-ориентированные системы обнаружения ботов. Однако это не должно удивлять, поскольку легальным расширениям браузера позволено многое: отправлять сообщения в Facebook, создавать веб-сайты в Wix, да и вообще выполнять любое действие от имени пользователя. С другой стороны, контрабандные вредоносные расширения в Google Web Store и их эффективное распространение среди большого количества жертв, подобно двум описанным выше атакам, превращают Google Web Store в зону боевых действий.
Кроме того, совсем недавно было обнаружено, что несколько популярных расширений Chrome уязвимы для XSS. Тому самому XSS, которому подвержено большинство веб-приложений. Причем в случае с браузерными расширениями последствия от XSS могут быть куда более разрушительными, чем в случае с традиционным злоупотреблением XSS на веб-сайтах. Яркий тому пример — расширение Adobe Acrobat для Chrome, которое 10 января 2016 года было по-тихому установлено компанией Adobe на 30 миллионов компьютеров. DOM’овская XSS-уязвимость, найденная в этом расширении, позволяла злоумышленнику создавать контент, запускающий JavaScript-код от имени этого Adobe’овского расширения.
В докладе рассказывается, как подобные изъяны приводят к полному и постоянному контролю над браузером жертвы, превращая легальное расширение в зомби. Кроме того, докладчик проливает новый свет на две атаки, упомянутые в начале описания доклада. Демонстрирует, как злоумышленник может использовать аналогичные техники для эффективной доставки вредоносной полезной нагрузки к новым жертвам, через популярные социальные платформы и таким образом создавать в интернете мощнейшие бот-сети.
Iskander Sanchez-Rola, Igor Santos, Davide Balzarotti. Extension Breakdown: Security Analysis of Browsers Extension Resources Control Policies // Proceedings of the 26th USENIX Security Symposium. 2017. P. 679–694
Все наиболее востребованные браузеры поддерживают механизм расширений. Поскольку браузерные расширения тесно связаны с браузерным окружением, они в последнее время стали привлекательным для злоумышленников объектом. С помощью механизма расширений злоумышленники уже давно собирают конфиденциальную информацию, просматривают историю поиска, воруют пароли. Все эти свои находки злоумышленники затем используют для очень серьезных целенаправленных атак.
В современных браузерах теоретически есть контрмеры, которые защищают расширения и их ресурсы от доступа к ним со стороны третьих лиц. Однако все эти контрмеры грешат одним из двух изъянов: либо их недостаточно, либо они реализованы некорректно.
В этом докладе представлена атака на браузерные расширения по обходным каналам, как раз направленная против настроек контроля доступа. Данная атака обходит даже самые современные защитные механизмы, во всех популярных браузерах, в том числе Chromium, Firefox, Microsoft Edge, Safari.
Также в докладе демонстрируются разрушительные последствия от применения плохой практики программирования, из-за которой большинство ныне существующих браузерных расширений очень уязвимы.
Как оценить уровень докладов на хакерских конференциях?
Загрузка ...
Siji Feng, Zhi Zhou, Kun Yang. Many Birds One Stone: Exploiting a Single Sqlite Vulnerability Across Multiple Software // Black Hat. 2017
SQLite широко используется в качестве встроенной БД для локального/клиентского хранилища в прикладном софте, таком как веб-браузеры и мобильный софт. Как реляционная БД, SQLite уязвима для SQL-инъекций. Эксплоитами SQL-инъекций сегодня уже мало кого удивишь. Поэтому в докладе сделан акцент на ошибки повреждения памяти в SQLite. Обычно эти ошибки не считаются серьезными проблемами кибербезопасности, и предполагается, что они вряд ли будут эксплуатироваться. Однако в этом докладе описаны несколько вариантов повреждения памяти через удаленный доступ, чтобы показать, что такой тип атак представляет для SQLite серьезную опасность.
Экскурс в SQLite-эксплоиты начинается с WebSQL. БД WebSQL — это веб-интерфейс для хранения данных, доступ к которым может быть получен посредством SQL-запросов. Хотя рабочая группа W3C прекратила развивать эту спецификацию в 2010 году, многие современные браузеры (в том числе Google Chrome, Apple Safari и Opera) все еще имеют в своей реализации обширную функциональность на основе SQLite.
В докладе рассмотрено несколько последних этапов в эволюции SQLite, рассказано, какое влияние эти этапы оказали на браузеры и каким исправлениям SQLite подвергалась на протяжении своей эволюции. Кроме того, в докладе представлены новейшие SQLite-уязвимости, которые докладчик использовал для компрометации Apple Safari. Этим новейшим уязвимостям подвержены абсолютно все браузеры, которые поддерживают БД WebSQL, в том числе браузерные компоненты WebView (Android) и UIWebView (iOS), которые широко используются в мобильном софте.
Чтобы показать, какими серьезными неприятностями может обернуться даже одна-единственная SQLite-уязвимость, в докладе приведено несколько примеров применения описываемого эксплоита против разных браузеров и платформ.
У многих языков программирования, в том числе PHP, Lua и Java, есть API для привязки к SQLite. Поэтому ошибки повреждения памяти в SQLite, помимо всего прочего, оказывают разрушительное влияние на функции безопасности этих языков программирования. В качестве примера в докладе продемонстрировано, как скомпрометировать PHP-движок через его SQLite-расширение, чтобы обойти ограничения безопасности, предусмотренные в PHP.
Joe Rozner. Wiping out CSRF // DEF CON. 2017
CSRF (Cross Site Request Forgery, межсайтовая подделка запроса) не теряет своей актуальности и остается неуловимой — из-за устаревшего кода, устаревших фреймворков, а также из-за того, что разработчики попросту не понимают сути этой проблемы, а если и понимают, то не знают, как от нее защититься. Докладчик в своем выступлении вводит примитивы и стратегии для проведения CSRF-атак, которые могут быть развернуты против любого веб-софта, использующего HTTP (в котором существует техническая возможность перехватывать и модифицировать HTTP-запросы и HTTP-ответы).
Современные фреймворки наконец-то стали предлагать эффективные решения для противодействия CSRF. Эти решения автоматически интегрируются в веб-софт и хорошо показывают себя в большинстве случаев. Однако множество старых приложений, а также новые приложения, которые либо не используют эти фреймворки вообще, либо используют их некорректно, по-прежнему подвержены CSRF.
Докладчик подробно разбирает, почему CSRF все еще жива, анализируя при этом примеры «полезной нагрузки», которая эксплуатирует конкретные проблемы в их различных вариациях. Докладчик проводит живую демонстрацию этих атак и показывает, как современные умные фреймворки пытаются защититься от них.
Далее докладчик показывает, как синтезировать рассмотренные примитивы в единое универсальное решение, способное проводить CSRF в подавляющем большинстве ситуаций. Объясняются ограничения умных фреймворков и эксплуатация этих ограничений. Под конец своего выступления докладчик рассматривает Same Site Cookies — новейшую технологию против CSRF — и объясняет, как и почему описанные методики распространяются и на эту технологию.
Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.
Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке
1 год6490 р. Экономия 1400 рублей! |
1 месяц720 р. 25-30 статей в месяц |
Уже подписан?
Читайте также
Последние новости
2009-2024 © Все права защищены.
This website - is fan-site, not an official Huawei website. The Huawei logo is a trademark of Huawei Technologies. Other trademarks are the property of their respective owners.
|