十大令人哭笑不得的漏洞
隨著漏洞賞金金額的提高,很多靠此為生的研究者竟發現了許多所謂的漏洞,今天我們就來看看十大令人哭笑不得的漏洞。
十、并發會話過多
Gmail和Facebook會話持續了數年,你可以同時從不同的設備訪問它們。如果Gmail和Facebook不想為用戶提供這種便利,則可以實施會話超時,以在用戶閑置五分鐘后將其注銷。
現在,設想一種情況,假如你需要提交匯款請求,而銀行要求你填寫一個包含十幾個不同輸入字段的在線表單。這樣你就要切換到另一頁以查找一些詳細信息,對它們進行三次驗證,然后僅檢查一下Reddit(全球很受歡迎的討論網站,它的訪問量已經可以排進全球前十)。當你最終決定提交表單時,會收到一條錯誤消息,表明你的會話不再有效。為此你必須重新填寫一遍,因為你只有這樣做,才能匯款。不過,這個過程會讓你極為不爽。
起初,會話超時可以阻止某些XSS的利用,但是你輸入密碼的次數越多,就可能會增加在惡意頁面上意外輸入密碼的機會。
九、無用的信息披露
有一些信息披露是無用的。除了牽強附會的假想場景之外,其他信息幾乎毫無用處,但仍然每天都有報道,我最喜歡的示例是"Server: Apache",這種不可思議的魯莽行為為無數黑客打開了后門。沒有人能猜到web服務器可能正在運行Apache,或者使用53種替代技術中的一種對其進行指紋識別。不幸的是,惡意的開發人員不允許你禁用它,因此你需要部署一個反向代理。
八、缺少rate-limit/ CAPTCHA
RateLimiter 從概念上來講,速率限制器會在可配置的速率下分配許可證,如果必要的話,每個acquire() 會阻塞當前線程直到許可證可用后獲取該許可證,一旦獲取到許可證,不需要再釋放許可證。通俗的講RateLimiter會按照一定的頻率往桶里扔令牌,線程拿到令牌才能執行,比如你希望自己的應用程序QPS不要超過1000,那么RateLimiter設置1000的速率后,就會每秒往桶里扔1000個令牌。
雖然強制使用一次性密碼的影響是毀滅性的,但這并不意味著每個應用程序終端都應該限制來自一個IP的傳入連接的數量。如果請求只是在應用程序上創建工作載荷,你真的想要修復它嗎?每個修復都需要關注、工程時間、測試時間,有時甚至會引入新的漏洞。沒有直接影響的速率限制(除了DOS)通常被排除在漏洞獎勵計劃之外,因為它沒有達到風險與修復成本的閾值。
七、將CSV注入作為一個漏洞
早在2014年,CSV注入(CSV Injection)漏洞的發現者James認為這是一種會造成巨大影響的攻擊向量。攻擊包含向惡意的EXCEL公式中注入可以輸出或以CSV文件讀取的參數。當在Excel中打開CSV文件時,文件會從CSV描述轉變為原始的Excel格式,包括Excel提供的所有動態功能。在這個過程中,CSV中的所有Excel公式都會執行。當該函數有合法意圖時,很易被濫用并允許惡意代碼執行。
但是,在跟蹤研究過程中,James發現了一個公式,如果受害者點擊多個可怕的警告,就會在Excel中執行任意代碼。結果呢?幾乎所有具有CSV導出功能的站點都有此報告。
六、未指定組件中的CVE-XXXX未指定漏洞
根據你發現的易受攻擊的軟件版本來報告漏洞并沒有什么錯,但是你很容易被成千上萬的此類報告所困擾。在當前條件下,它們中可能只有一小部分實際上是可利用的,或者它們可能根本不會被用戶看到。由于很難找到1%的可利用漏洞并正確確定優先級,但這就需要公司付出很多成本。掃描已知漏洞通常只是第一步,真正的價值是通過報告經過驗證的漏洞并具有清晰的利用載體來創造的。
五、不再具有威脅的XSS漏洞
XSS(cross-site scripting跨域腳本攻擊)攻擊是最常見的Web攻擊,其重點是“跨域”和“客戶端執行”。有人將XSS攻擊分為三種,分別是:Reflected XSS(基于反射的XSS攻擊)、Stored XSS(基于存儲的XSS攻擊)、DOM-based or local XSS(基于DOM或本地的XSS攻擊)。
那些不再起作用的經典XSS攻擊可以說是非常可笑的漏洞,比如document.write(location.pathname),document.write()是Javascript中對document.open()所開啟的文檔流操作的API方法。document.write()方法可以向HTML輸出流中插入你傳入的內容,瀏覽器會按著HTML元素依次順序依次解析它們,并顯示出來。其中的路徑在現代瀏覽器中總是URL編碼的,如果內容類型是純文本或json時會嗅探內容。曾經的IE可謂是漏洞百出,研究人員有很多技巧可以利用Internet Exploder。但是如今,除非用戶決定通過使用過時的Internet Explorer導航到URL來查看一些黃賭毒的非法網站,否則XSS攻擊漏洞可以說是毫無意義。不幸的是,這并不能阻止賞金獵人在他們的報告中把這些所謂的漏洞作為重要的一塊來研究。
四、缺少安全標頭
標頭是HTTP規范的一部分,在HTTP請求和響應中定義消息的元數據。當用戶通過客戶端瀏覽器訪問網站時,服務器使用HTTP響應頭進行響應。雖然HTTP消息通常由用戶讀取,但元數據僅由Web瀏覽器處理,并且自1.0版以來已包含在HTTP協議中。
三、標簽釣魚(tabnabbing)
該攻擊手法是由Mozilla Firefox瀏覽器的界面及創意負責人Aza Raskin發現和命名的,tabnabbing可改變用戶瀏覽網頁的標簽及接口,以誘導用戶輸入網絡服務的賬號與密碼。 因此,Raskin將此手法稱為標簽綁架(tabnapping),他指出當使用者連上一個嵌有第三方script程序或Flash工具的網頁時,就會讓自己曝露于風險中,因為相關的惡意軟件得以偵測使用者經常使用或正在使用的網絡服務,在用戶暫時離開該網頁后,該網頁內容及網頁標簽會悄悄地變身成為偽造的網絡服務,并誘導用戶輸入個人信息。
逆向tabnabbing,會發現兩種類型。通過改變打開攻擊者控制的站點的頁面的URL來濫用 target=_blank,這樣做的目的是當你關閉攻擊者控制的頁面時,騙你登錄釣魚網站。幸運的是,瀏覽器將通過默認情況下使用noopener將window.opener設置為null來鏈接到target = _blank來緩解此漏洞。這意味著,再報告類似的漏洞已經毫無意義了。
二、缺少httponly標志
如果cookie設置了HttpOnly標志,可以在發生XSS時避免JavaScript讀取cookie,這也是HttpOnly被引入的原因。但這種方式能防住攻擊者嗎?HttpOnly標志可以防止cookie被“讀取”,那么能不能防止被“寫”呢?答案是否定的
根據研究者多年的跟蹤分析,他們觀察到了一種奇特的現象。當一種安全措施像設置HTTP標頭或cookie標志一樣簡單時,它很快就會吸引很多狂熱愛好者,他們堅持認為必須在任何可能的地方使用它。這樣造成的后果是他們認為任何不采取這些措施的網站都肯定不安全。
目前可以肯定,旨在通過停止使用JavaScript來竊取會話cookie來緩解XSS的使用,這幾乎是無用的,因為cookie泄漏是一種復雜且不切實際的利用方法,攻擊者無論如何也不死盯著這一方法來發起攻擊。不幸的是,httponly標志的粉絲并不知道這一點,他們也不認識會話cookie,所以你最好將其應用于每個cookie上,否則他們可能會憤怒。
這個漏洞報告除了對賞金獵人有用外,實際的防御價值幾乎可以忽略不計。
一、autocomplete=off設置失敗
autocomplete 屬性是 HTML5 中的新屬性,在input中autocomplete屬性是默認開啟的。屬性值:on——默認,啟動自動完成;off——禁用自動完成。
input 的屬性autocomplete 默認為on,其含義代表是否讓瀏覽器自動記錄之前輸入的值。很多時候,需要對客戶的資料進行保密,防止瀏覽器軟件或者惡意插件獲取到。可以在input中加入autocomplete="off" 來關閉記錄,系統需要保密的情況下可以使用此參數。研究人員跟蹤發現,“autocomplete=off設置失敗”這個漏洞之所以會被漏洞賞金者視為重點發現對象,原因如下:
- 傳統觀點認為,使用密碼管理器是實現超級安全的唯一密碼的唯一方法;
- 安全審核員聲稱應通過設置autocomplete = off就可以阻止或禁止這種做法;
- 不同意可能會導致無法獲得PCI合規性;
- 瀏覽器供應商不同意,因此所有主要瀏覽器都故意忽略此設置;
- 有些網站通過不使用type = password或禁用粘貼的方法來解決此漏洞;
那實際結果如何呢?大多數網站都把精力浪費在一個所有人都忽略的設置上,而安全問題沒有得到任何解決。
本文翻譯自:https://portswigger.net/research/notwasp-bottom-10-vulnerabilities-that-make-you-cry
