[Poll]Problema de Securitate: Cross-User Defacement

[Domnul.Do]

Prima data definitia de la OWASP :

"An attacker can make a single request to a vulnerable server that will cause the sever to create two responses, the second of which may be misinterpreted as a response to a different request (...) . This can be accomplished by convincing the user to submit the malicious request themselves, or remotely (...) . In the best case, an attacker can leverage this ability to convince users that the application has been hacked, causing users to lose confidence in the security of the application. In the worst case, an attacker may provide specially crafted content designed to mimic the behavior of the application but redirect private information, such as account numbers and passwords, back to the attacker."

Rezumat:

Am trimis la o adresa ca este vulnerabila la Cross-User Defacement , cu alte cuvinte:

Am dovedit ca pot sa identific remote si "silentios" daca este administratorul domeniului,prin intermediul HTTP Status Codes + CSRF

Ca remediere am sfatuit sa implementeze pentru ambele cazuri HTTP Status Code-ul 200 (Ok)

Raspunsul lor:

"Thanks for your email. We are currently tracking this issue and do not plan to fix it as we do not feel that sending a 200 status code would have a net improvement on security."

Intrebarea mea:

Cosiderati Cross-User Defacement ca o problema de securitate?

Edited July 22, 2013 by Domnul.Do

[Nytro]

Pare sa fie o aceeasi problema ca si CRLF-urile de la formularele de email (SMTP si HTTP folosesc acelasi delimitator de headere, \r\n): CRLF Injection (CRLF Injection attacks and HTTP Response Splitting - Acunetix) doar cu un nume mai trendy. Sau ii putem zice HTTP Response Splitting, mai generic (HTTP response splitting - Wikipedia, the free encyclopedia).

In orice caz, este XSS (daca nu sunt filtrate datele). In loc sa generezi ca raspuns un alt set de headere HTTP, mai bine generezi tu un cod HTML/JS care face cine stie ce prostii. Din acest motiv, sigur, e vulnerabilitate.

Dar uite niste idei:

- poti pune header de descarcare de fisier: "Content-Disposition: attachment; filename=MyFileName.ext" si poti forta descarcarea unui fisier, care provine dintr-o sursa "sigura"

- poti pune Location catre ce vrei tu, deci ai URL redirection sau cum va place sa ii ziceti, cu "Location"

- poti seta diverse cookie-uri cu "Set-Cookie"

Legat strict de ce zici tu, de acel "Cross User Defacement" adica de posibilitatea de a raspunde cu 2 (sau mai multe) raspunsuril HTTP, nu e o problema de web security:

1. Ai nevoie de acea "shared connection" care in practica nu cred ca e foarte comun

2. Este o problema, DAR este o problema in porcaria de server de proxy cache, NU in aplicatia web

Cross-user defacement si web cache poisoning sunt probleme in servere de proxy cache.

Da, atat la nivel teoretic cat si la nivel practic, nu este in regula sa existe posibilitatea de a modifica headerele de raspuns. E cam urat de exploatat dar tot o problema ramane, insa nu una foarte periculoasa. Voi vota ca "da", ca e o problema de securitate, dar una "Low", nu foarte periculoasa.

Cum altfel ai putea exploata asa ceva?

Legat de raspunsul lor, cred ca nu au inteles exact despre ce e vorba. Mie numele (Cross User Defacement) mi se pare o porcarie gay.

[Domnul.Do]

Da , dar ca un exemplu:

Imi fac un cont in domeniu.do ca si un user . In Privacy nu este specific nici unde ca informatile mele sa fie prelucrare de alte "Third-Party Sites" .

Daca prin aceasta metoda se poate afla ca sunt un user a domeniului respectiv si nu este specificat in Privacy acest lucru , bineinteles ca nu imi convine sa stie cineva ca am o tangenta sau ca am vizitat odata acel domeniu .

Pe alta parte creste rata de succes,deoarece similar cu acest P.o.C poate detecta daca esti logat si nu consumi bandwidth inutil pe un user neautentificat .

Mai mult este legat de Information Leakage . Aceasta metoda o consider ca este mai mult logical issue dar combinata cu alte exploit/bug-uri poate sa creasca foarte mult rata de succes deoarece poate sa identifice user-ul dorit.