جوجل سطح المكتب مكشوف: استغلال نقطة ضعف Internet Explorer لفيش معلومات المستخدم
-نظرة عامة
كان لا بد أن يحدث. مفتون مؤخرا من قبل I إمكانية استخدام جوجل سطح المكتب لاسترجاع البيانات عن بعد من البيانات الشخصية للمستخدم (مثل بطاقات الائتمان وكلمات السر) من خلال استخدام صفحة على شبكة الإنترنت الخبيثة. الآن، وذلك بفضل تصميم عيب شديد في Internet Explorer، تمكنت من إظهار انه من الممكن لتشغيل عمليات البحث على زوار سرا إلى موقع ويب من خلال استغلال هذه الثغرة الأمنية. في هذه المقالة سوف بالتفصيل ما هو الضعف في IE وكيفية استخدامها لاستغلال جوجل سطح المكتب. إذا كان لديك IE 6 وجوجل سطح المكتب V2 تثبيت يمكنك اختبار لنفسك في حجتي من الصفحة المفهوم.تحديث: بعد نشر استغلال، وجوجل مصححة مواقعهم لمنع استغلال هذه الثغرة الأمنية. ولذلك، فإن إثبات المفهوم لم يعد يعمل.
-تحليل مفصل
عادة، متصفحات فرض قيود قوية للتفاعل عبر المجال من خلال متصفح الويب. ويمكن للصفحة ويب معينة تجعل مستخدم تصفح إلى مجال مختلف. ومع ذلك، فإنه قد لا قراءة محتوى الصفحة استرجاع ولا التلاعب أي من أهدافه DOM. تفرض هذا القيد حتى واحد صاحب الموقع لن تكون قادرة على التجسس على عادات المستخدم تصفح باستخدام جافا سكريبت. أيضا، إذا تم بالفعل تسجيل مستخدم الدخول إلى خدمة معينة (مثل Gmail أو هوتميل) صفحة ويب ضار يمكن أن تنفذ عمليات معينة في حساب المستخدم (مثل فتح بريد الكتروني والقراءة) إذا لم تكن القيود في مكان. في IE يتم الاحتفاظ هذه القيود بدقة ولكن يتم تقسيم عندما يتعلق الأمر الواردات CSS. وأنا أسمي هذا الهجوم CSSXSS أو أوراق الأنماط المتتالية الكتابة عبر الموقع
ويمكن للصفحة ويب معينة استيراد قواعد CSS من مجال مختلف باستخدام "استيراد @" التوجيه. IE لديها أيضا وظيفة جافا سكريبت سهل يسمى "addImport" التي تعمل تماما مثل "استيراد @" ولكن في وقت التشغيل. يمكن في وقت لاحق قواعد CSS يمكن قراءتها من قبل الوصول إلى "cssText" الملكية في جمع document.styleSheets. لكن ماذا يحدث عندما صفحة ويب تستورد URL التي ليس ملف CSS صالحة؟ يبدو أن تحليل IE في CSS تساهلا يسمح لهذا أن يحدث في والممتلكات "cssText" يمكن للمرء أن يقرأ مقتطفات من كود HTML من موقع بعيد وسوء تحليل وقواعد CSS. لأن القواعد CSS تتطلب بنية معينة قد يكون مقدار من التعليمات البرمجية هذا ما استردادها من موقع بعيد تختلف تبعا لقانون الموقع.قواعد CSS تحديد شكل الموقع وعادة ما يكون محدد، خاصية وقيمة. يتم فصل هذه الممتلكات وقيمة بنقطتين وتحيط بها الأقواس المتعرجة. على سبيل المثال، لتلوين جميع الروابط على صفحة ويب معينة يمكن للمرء تحديد قاعدة CSS "ل{لون: أبيض}". من أجل استرداد رمز من URL معينة غير صالحة CSS، يجب أن تحتوي الصفحة الهدف بعض الأحرف التي يتم استخدامها في تقويم الأسنان، وهي CSS مجعد. لحسن الحظ، معظم صفحات الويب الحديثة تحتوي عليها كما تستخدم على نطاق واسع في الأقواس المتعرجة شفرة جافا سكريبت وقواعد CSS المضمنة في صفحات. وبمجرد أن يضرب محلل CSS IE الأقواس المتعرجة فإنه سيحاول تفسير البيانات بعد أنها CSS. حتى لو كان الناتج قواعد CSS لا تجعل أي معنى لمتصفح، IE سوف تسمح تزال تراهم في الممتلكات "cssText". الجمع بين الأقواس المتعرجة، وكولون كولون شبه كما تظهر في قانون تحديد الهدف HTML التي يمكن قراءتها قصاصات من التعليمات البرمجية.
عند استخدام هذه التقنية سوف CSSXSS للمهاجمين الحصول على شفرة جافا سكريبت في الغالب. ومع ذلك، وانه يمكن تحسين حظه عن طريق حقن الأحرف CSS في صفحة الهدف. منذ أكثر المواقع الحديثة هي ديناميكية والحصول على المعلمات من خلال URL، عن طريق الحقن هذه الأحرف هي تافهة عادة. هذه تشبه إلى حد كبير عن طريق الحقن جافا سكريبت في صفحة الهدف كما هو مستخدم في نقاط الضعف XSS الكلاسيكية فقط هنا للمهاجمين يقحم حرف التي تنظر معظم المواقع غير مؤذية.مثل الكثير من الثقوب XSS الكلاسيكية، وهذا عيب في تصميم IE يسمح للمهاجمين لاسترداد بيانات المستخدم الخاصة أو تنفيذ عمليات نيابة عن مستخدمين على المجالات البعيد. الفرق هو أنه في هذه الحالة موقع الهدف لا يجب أن تكون عرضة للحقن النصي. جميع مهاجم القيام به هو جذب مستخدم إلى صفحة ويب الخبيثة. يمكن استغلال الآلاف من المواقع على شبكة الإنترنت وليس هناك حل بسيط ضد هذا الهجوم ما لا يقل عن حتى يتم إصلاح IE. وهذا يعني تتأثر الملايين من مستخدمي IE من هذا الخلل التصميم.وقد تم اختبار هذه الثغرة الأمنية للعمل على اصلاح متصفح الانترنت مايكروسوفت بالكامل 6 Explorer والإصدارات السابقة عرضة ربما كذلك. موزيلا فايرفوكس يبدو كافيا للحفاظ على القيود المجال في الواردات وCSS لا يبدو أن تكون عرضة لهذا النوع من الهجوم. أوبرا ليست ضعفا لأنها لا تدعم جمع معدات الشكل. والحلول الممكنة لمستخدمي لتخفيف هذا الهجوم هو تعطيل جافا سكريبت في IE أو استخدام متصفح مختلف.
و انا براي لو تستعملو متصفح فيرفوكس احسن
0 commentaires:
إرسال تعليق
اضف تعليقك هنا