1.5, Аноним (5), 22:02, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +15 +/– |
Оригинально. Из категории идей, которые кажутся очевидными после того как кто-то обратит на них внимание.
Но ещё больше удивило, что нашлось больше 40 тысяч сайтов, использующий один SSL-сертификат с FTP-серверами, от которых как казалось уже все кто можно отказался.
| |
|
|
3.22, Аноним (22), 23:05, 09/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не забудьте то же самое сказать про email (SMTPS, POP3S, IMAPS).
| |
|
4.94, Аноньимъ (ok), 10:56, 10/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
"Почтовые" протоколы дрянь и ужас.
К ним же в кучу nfs3 и всякие сипы и прочие аудио видео звонки которым не хватает одного соединения на один порт.
| |
|
5.105, Аноним (105), 11:54, 10/06/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
> всякие сипы и прочие аудио видео звонки которым не хватает одного соединения на один порт.
Итак давай представим себе ситуацию, что есть группа людей из 4-х человек, которые общаются в голосовом/видео чате. Первый второму перекидывает файл, третий пишет им всем сообщения, а четвертый слушает что они все говорят, находясь в мобильной сети, переключаясь между wcdma/hsdpa/hspa+/lte сетями, потому что едет в машине. Ну так вот потом четвертый пришел домой и попал в Wi-Fi сеть и тут же добавил в разговор пятого.
Вот для организации всего этого достаточно SIP в сочетании с теми протоколами, которые идут вместе с ним =)
А теперь, умник, попробуй мне построить то же самое на клиент-серверной сети с одним соединением на порт. Я посмотрю на тебя. Было уродство под названием XMPP, да сплыло, когда оказалось, что нужно 80% SIP портировать в него чтобы голос добавить. Вот и получился XMPP Jingle, который сдох. Пиринговая сеть рядышком с клиент-серверным XMPP, и, нет, через один порт не получилось. Ни у кого не получится.
Дрянь и ужас - это уровень твоего образования. Тех у кого нет жизни вне одной клиент-серверной TCP-сессии лучше держать подальше от проектирования протоколов. И если внутри FTP еще можно было бы как-то обойтись, то медиа...
А что НЕ "дрянь и ужас", я стесняюсь спросить? Ну кроме HTTP. Или только на вебне жить прикажешь? Ой. А как же в этой самой вебне делается медиа? Ты не поверишь. ICE+SDP+STUN+TURN+SRTP поверх вебсокетов, которые идут "вторыми" портами. Ой всё...
| |
|
6.110, Аноньимъ (ok), 12:55, 10/06/2021 [^] [^^] [^^^] [ответить]
| –4 +/– |
>умник
Спасибо.
>попробуй мне
>Я посмотрю на тебя
>Дрянь и ужас - это уровень твоего образования
Мне это саморазоблачение ненужно в общем комментировать.
>Ой. А как же в этой самой вебне делается медиа? Ты не поверишь. ICE+SDP+STUN+TURN+SRTP поверх вебсокетов, которые идут "вторыми" портами
Да, это дрянь и ужас абсолютная, тут разве что согласен.
>XMPP
Смешались люди кони у вас в кучу одну.
| |
|
7.115, Просто (?), 13:51, 10/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если ты осуждаешь реализации с множеством соединений, значит у тебя есть рабочие кейсы с одним на все?
Есть реализации? Есть что предложить? Рабочее, для всего медиа.
| |
|
|
7.154, Аноним (105), 02:33, 11/06/2021 [^] [^^] [^^^] [ответить] | –1 +/– | Сразу видно что ты новости читать умеешь, а про что они написаны не знаешь Не и... большой текст свёрнут, показать | |
|
|
9.158, Аноним (105), 03:42, 11/06/2021 [^] [^^] [^^^] [ответить] | –2 +/– | Не пойму, если я индюк, и меня раздуло до размеров дирижабля, то почему лопнул и... текст свёрнут, показать | |
|
|
|
|
|
4.96, Moomintroll (ok), 11:16, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Не забудьте то же самое сказать про email (SMTPS, POP3S, IMAPS).
У SMTP, POP3 и IMAP есть STARTTLS, с которым этот фокус не пройдёт.
| |
4.101, СеменСеменыч777 (?), 11:42, 10/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Не забудьте то же самое сказать про email (SMTPS, POP3S, IMAPS).
не согласен как минимум про первых два и отчасти про imap.
во-первых используется один порт и одно соединение (а не два навстречу друг другу).
дальше продолжать ?
| |
|
3.56, Аноним (56), 00:16, 10/06/2021 [^] [^^] [^^^] [ответить]
| +6 +/– |
FTP отличный протокол. Это руки дрянь у тех кто его не осилил и везде всунул HTTP
| |
|
4.57, Аноним (22), 00:19, 10/06/2021 [^] [^^] [^^^] [ответить]
| –11 +/– |
Попробуйте запостить этот же комментарий через FTP, а то как-то голословно.
| |
|
5.64, deeaitch (ok), 00:29, 10/06/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
А ты стрелки не переводи. FTP не для того чтобы коменты постить и javascript запускать. А для передачи фалов. И сравляется он с этим куда лучше HTTP и/или HTTPS.
| |
|
6.69, Stax (ok), 01:11, 10/06/2021 [^] [^^] [^^^] [ответить]
| +10 +/– |
О дааа.. Одна проблема с буквой "я" чего стоит, а про классику в виде отсутствия понятия кодировки имен файлов (и невозможности договориться о ней), работу через два независимых порта, что создает свои неприятности (ну-ка попробуйте с пол-тычка завернуть ftp в ssh туннель, аналогично http) и неопределенность даты файлов уж и не говорим..
| |
|
7.125, deeaitch (ok), 15:55, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> О дааа..
Именно, да.
> Одна проблема с буквой "я" чего стоит, а про классику
> в виде отсутствия понятия кодировки имен файлов (и невозможности договориться о
> ней),
Интересно, почему у меня нет этой проблемы? А? Может маны почитать не?
> работу через два независимых порта, что создает свои неприятности
А почему у меня работает через 1? Магия?
> (ну-ка
> попробуйте с пол-тычка завернуть ftp в ssh туннель, аналогично http)
sftp это не ftp с ssl. Это на секунду часть ssh и заводится на ура с пол оборота. Но мы же iPony style, неосиляторы.
> и
> неопределенность даты файлов уж и не говорим..
Откуда вы берёте все эти проблемы. Десятилетиями весят публичные репозитории и ни у кого нет проблем. Одни только неосиляторы ноют.
| |
|
8.185, Stax (ok), 21:36, 11/06/2021 [^] [^^] [^^^] [ответить] | +/– | И какими же манами вы добавите поддержку передачи кодировки И какими манами поч... большой текст свёрнут, показать | |
|
7.213, Аноним (214), 18:53, 22/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> О дааа.. Одна проблема с буквой "я" чего стоит, а про классику в виде отсутствия понятия кодировки имен файлов (и невозможности договориться о ней),
А зачем кодировки, когда всё в UTF-8?
> работу через два независимых порта, что создает свои неприятности (ну-ка попробуйте с пол-тычка завернуть ftp в ssh туннель, аналогично http)
Для ssh не нужен ftp. Но если очень хочется, то можно 3мя способами (протокол позволяет задавать фиксированные порты, а у ssh есть -D).
> и неопределенность даты файлов уж и не говорим..
Определена не хуже чем в http.
| |
|
6.88, anonymous (??), 10:18, 10/06/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
И делает он это слишком сложно. Например делать дополнительное соединение, чтобы передать данные -- это вызывает огромное количество неполадок при использовании FTP.
| |
|
7.127, deeaitch (ok), 15:57, 10/06/2021 [^] [^^] [^^^] [ответить]
| –6 +/– |
> И делает он это слишком сложно. Например делать дополнительное соединение, чтобы
> передать данные -- это вызывает огромное количество неполадок при использовании FTP.
Эпичные неосиляторы, когда же вы научитесь доки читать. Нормально ходит и через один порт.
| |
|
|
7.128, deeaitch (ok), 15:58, 10/06/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> А для передачи фалов.
> фаллов. и даже местами фаллловъ (чтобы выглядели подлиннее и потверже).
Это чтобы неосиляторам было чем перед дефачками хвастаться. Своего то тю....
| |
|
|
|
6.123, СеменСеменыч777 (?), 15:42, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> ну через telnet на bbs сидели, а то целый фтп!
было дело. но я уже забыл как там фаллы и ваагины передавали.
то ли клиент telnet запускал ZModem и отдавал ему поток, то ли как-то еще.
| |
|
|
4.93, Аноньимъ (ok), 10:53, 10/06/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ужасный он. Использует нетривиальную схему соединений вместо одного TCP стрима.
Из за чего его ненавидели уже 20лет назад.
Фаерволить подобное сущий ад.
| |
|
|
|
7.138, Аноньимъ (ok), 18:55, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> вот на этот коммент особое внимание
> https://www.opennet.dev/openforum/vsluhforumID3/122380.html#119
В коменте пишут, что производители роутеров ленивые.
Я думаю дело не просто в том, что ленивые, а в том, что это реально сложно, особенно для бытовых железок с ограниченной памятью и железом.
И опять таки встаёт вопрос совместимости с обратной стороны софта, который уже вероятно ожидает конкретную реализацию ната.
Ну и не только в НАТе дело, попробуйте такого монстра протокольного банально разрешить или запретить в фаерволле.
А так да, протокольный Ад хорошо описан.
| |
|
8.155, Аноним (105), 03:07, 11/06/2021 [^] [^^] [^^^] [ответить] | +/– | Обыкновенный SIP-телефон стоит не сильно дороже роутеров и памяти в нём меньше, ... большой текст свёрнут, показать | |
|
|
10.160, Аноним (105), 04:36, 11/06/2021 [^] [^^] [^^^] [ответить] | +/– | Среднестатистический телефон слабее роутера Сильно Предположение в корне не ве... большой текст свёрнут, показать | |
|
|
12.162, Аноним (105), 06:07, 11/06/2021 [^] [^^] [^^^] [ответить] | +/– | Есть несколько вариантов, которые лучше комбинировать 1 ACL до нужных SIP-серве... большой текст свёрнут, показать | |
|
|
|
|
|
7.157, Аноним (105), 03:36, 11/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
> анона-фанатика SIP выше по треду тоже касается.
Предлагаешь анону фанатику SIP читать его собственный коммент?
А ты смешной =)
| |
|
|
|
|
|
2.8, Аноним (8), 22:28, 09/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>если FTP-сервер интерпретирует запрос как файл
Очевидно? Мне не очевидно как мой браузер вдруг вместо HTTP начнёт говорить на языке FTP
| |
|
3.15, Аноним (5), 22:57, 09/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Передавай внутри POST-данных любые команды FTP/SMTP/POP3/IMAP, предшествующие HTTP-заголовки просто игнорируются как ошибочные команды.
| |
|
4.21, Sw00p aka Jerom (?), 23:04, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
>Передавай внутри POST-данных любые команды
написано же "Для успешной атаки злоумышленнику требуется затем каким-то образом извлечь сохранённое содержимое.", а каким - не сказано. Ибо так просто взять и отправить пост от имени bank.com не получится.
Далее они предлагают, чтобы заманить жертву на подконтрольный левый сайт и там уже пытаться что-то сделать, но тут может не сработать из-за CORS.
"Например, при открытии пользователем страницы, подконтрольной атакующим, с этой страницы может быть инициирован запрос ресурса с сайта, на котором у пользователя имеется активная учётная запись (например, bank.com)."
Инициация этого запроса под вопросом.
| |
|
5.44, Аноним (8), 23:48, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Каким-то образом извлечь данные это понятно как. Запрос из браузера идёт на FTP сервер и там сохраняется в виде файла. Дальше файл уже можно скачать если это позволено настройками FTP сервера.
У меня вопрос как заставить браузер послать нужный запрос. Это выходит надо на страницу банка сперва что-то заинжектить.
| |
|
|
7.104, Аноним (104), 11:51, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> CORS куда смотреть будет?
Никуда. Есть запросы, на которые он не реагирует.
| |
|
6.50, Аноним (50), 00:07, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
В статье же расписано как заставить послать - заставить зайти на свою страницу и с неё инициировать запрос к цели.
| |
|
7.139, Annoynymous (ok), 19:52, 10/06/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
И как-то случайно моя страница будет подписана тем же сертификатом, что и FTP сервер.
| |
|
|
|
4.38, Онаним (?), 23:38, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не совсем так.
После X ошибочных команд обычно что клиент, что сервер - дисконнектятся.
Не у всех есть такая защита, но мы говорим о серверах (раз POST) - там она в большинстве случаев есть.
| |
|
3.19, Аноним (22), 23:03, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
После того, как поддержку FTP убрали, для современного браузера все является HTTP.
| |
|
2.40, Онаним (?), 23:41, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Точнее - из категории идей, про которые все давно знают (без шифрования это таки было ещё проще) и давно уже перестрахованы где надо.
| |
|
1.6, Аноним (104), 22:13, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
> ...при наличии контроля над сетевым шлюзом...
> ...атакующий может разместить данные в сервисе...
Простите, у вас там совсем <сосуд со множеством дырочек>?! С таким сосудом любая альпака - как мелкая шалость.
| |
|
2.29, Аноним (29), 23:13, 09/06/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ну вот взять вайфай, например. Даже запароленный. Владелец кафешки или отеля может атаковать.
| |
|
3.34, Аноним (104), 23:27, 09/06/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
> FTP-сервер ... журналирует входящие запросы. Для успешной атаки злоумышленнику требуется затем каким-то образом извлечь сохранённое содержимое.
... каким-то образом попасть на FTP-сервер. Да каждый владелец кафешки имеет доступ на сервер твоего банка!
| |
|
4.89, anonymous (??), 10:21, 10/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Доступ на FTP бывает и анонимным. А роутер кафешки может быть уже взломан каким-то другим злоумышленником.
| |
|
5.98, Q2W (?), 11:29, 10/06/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
Анонимный FTP под сертификатом твоего банка?
Это про сбербанк что ли?
| |
|
6.196, anonymous (??), 12:20, 12/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Это, вообще говоря, и не обязательно банк. Это может быть ваш хостер, например.
| |
|
7.212, Аноним (214), 18:45, 22/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Это, вообще говоря, и не обязательно банк. Это может быть ваш хостер, например.
Не может. У этого "FTP" должен быть тот же сертификат, что и у банка. Откуда у хостера возьмётся сертификат банка?
Или банк на шаред-хостинге сидит?
| |
|
|
|
|
|
2.102, hshhhhh (ok), 11:43, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Простите, у вас там совсем <сосуд со множеством дырочек>?!
так в этом же и суть MiTM атак?
| |
|
1.9, Аноним (8), 22:30, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
С такими дырами хром может убирать из чёрного списка тот набор номеров портов, которые они захардкодили для защиты от NAT slipstreaming. Потому что по факту данная уязвимость как раз и обходит эту защиту, перенаправляя запрос с 443 на уязвимый порт.
| |
|
2.18, Аноним (5), 23:01, 09/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Интерес эта атака имеет больше теоретический, так как для проведения требуется MITM. Но авторы обещают на USENIX Security Symposium раскрыть способ, работающий без MITM, а это уже совершенно другой уровень опасности.
| |
|
1.10, YetAnotherOnanym (ok), 22:31, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> использующим общие TLS-сертификаты
> при наличии контроля над сетевым шлюзом или точкой беспроводного доступа
А зачем мудрить с точкой доступа, если у атакующего уже есть "общие TLS-сертификаты" с имитируемым сервером?
| |
|
2.12, Аноним (8), 22:35, 09/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нет. Общие тут имеется в виду что есть например сайт и есть SFTP сервер, использующие общие сертификаты. Например yandex.ru и ftp.yandex.ru могли бы использовать общий условно *.yandex.ru сертификат. Атакующий при помощи точки доступа перенаправляет запрос вашего браузера с HTTPS на SFTP сервер.
| |
|
3.13, Sw00p aka Jerom (?), 22:43, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
>Атакующий при помощи точки доступа перенаправляет запрос вашего браузера с HTTPS на SFTP сервер.
а дальше что?
| |
|
4.26, Аноним (104), 23:11, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
SFTP футболит с ошибкой, попутно делая эхо этой ошибки, которая вовсе не ошибка, а нужные данные, переданные через POST. А твой наивный браузер всё это ловит и думает, что это ответ с bank.com и начинает выполнять скрипты в контексте bank.com.
| |
|
5.32, Sw00p aka Jerom (?), 23:24, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> SFTP футболит с ошибкой, попутно делая эхо этой ошибки, которая вовсе не
> ошибка, а нужные данные, переданные через POST. А твой наивный браузер
> всё это ловит и думает, что это ответ с bank.com и
> начинает выполнять скрипты в контексте bank.com.
так так, а как открывается контекст с bank.com?
| |
|
6.35, Аноним (104), 23:30, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Твой браузер и открывает, только запрос немного не туда уходит.
| |
|
|
|
3.83, YetAnotherOnanym (ok), 09:16, 10/06/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Нет. Общие тут имеется в виду что есть например сайт и есть
> SFTP сервер, использующие общие сертификаты. Например yandex.ru и ftp.yandex.ru могли
> бы использовать общий условно *.yandex.ru сертификат. Атакующий при помощи точки доступа
> перенаправляет запрос вашего браузера с HTTPS на SFTP сервер.
В любом случае, предполагается, что у атакующего есть закрытый ключ, соответствующий этому сертификату. С ним можно сделать что угодно просто подняв свой веб-сервер.
| |
|
4.120, Аноним (8), 14:56, 10/06/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Нет, ключ от сертификата тут не нужен. Атакующий не вмешивается в сам трафик, не читает его и не видоизменяет.
| |
|
3.85, hefenud (ok), 09:50, 10/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ванька путает ftp и sftp? Ванька не знает, что это разные протоколы?
| |
|
|
1.11, Аноним (8), 22:32, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Мораль: держите FTP, SMTP, IMAP и прочие сервисы на отдельных поддоменах со своими собственными сертификатами благо сейчас стало проще автоматизировать их обновление.
| |
|
2.23, Аноним (22), 23:07, 09/06/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Мораль: держите FTP, SMTP, IMAP и прочие сервисы на отдельных поддоменах со своими собственными сертификатами благо сейчас стало проще автоматизировать их обновление.
Полагаю, отказ от "сразу шифрованных" соединений в пользу STARTTLS тоже вполне прокатит.
| |
2.63, deeaitch (ok), 00:26, 10/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Мораль в том что FTP, SMTP, IMAP оказались совершенно не причём. А проблема вылезла вообще в HTTPS и браузерах.
У нормальных людей через ftp, smtp, imap javascript не выполняется.
| |
|
1.17, Аноним (17), 22:59, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
И никого не смутило:
<при наличии контроля над сетевым шлюзом или точкой беспроводного доступа>
т.е. ломаем шлюз (не суть как) и только потом манипулируем с перенаправлением.
| |
|
2.27, Аноним (5), 23:12, 09/06/2021 [^] [^^] [^^^] [ответить]
| +4 +/– |
Реалии таковы, что точки беспроводного доступа и домашние маршрутизаторы дырявые как pешето, ломай не хочу. Или можно урожай собирать на выходных узлах Tor и создавая открытые wifi-сети.
| |
|
3.180, Аноним (-), 15:47, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
какие у тебя там реалии
на выходных нодах tor?
Сказочник былиный, ты наш )))
| |
|
2.30, онанимус (?), 23:17, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
а тебя не смущают миллионы admin:admin роутеров, торчащие голой жопой в интернет? и всякие захардкоденные аккаунты "oelinux123" на случай, если дофига умный лаовай сменит дефолтный пароль?
| |
|
3.114, Ненавижу SJW (?), 13:40, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
И что из этого можно поиметь?
Как я понимаю это же скорее всего домашний роутер тарчит, а за ним пару хостов
| |
|
4.118, авыыва (?), 14:49, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
А за домашним рутером сидит какой нить инженер из конторы ABB. Оппа и тейковер какой-то электростанции.
| |
|
|
6.215, онанимус (?), 23:21, 30/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> А если серьёзно?
а если серьёзно, то гуглите "казино взломали через аквариум", или термометр, не помню точно.
за admin:admin девайсами порой скрывается много интересного, как минимум это доступ в локальную сеть таргета.
| |
|
|
|
|
2.90, Аноним (90), 10:24, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не смутило:
1. Об MITM написано аж в заголовке статьи.
2. Куча дырявых роутеров вокруг или роутеров с admin/admin (что равносильно дырявости).
3. Атакующий может быть тем самым настоящим провайдером "точки беспроводной связи": кафешка / гостиница / etc. со своей точкой доступа. И ничего ломать не надо.
3.2. да ты сам можешь в кафешке или рядом сесть, включить раздачу вайфая с именем сети Free WiFi (или даже название кафешки вписать) и ловить всех подключившихся.
Короче, тут куча вполне себе реальных прикладных сценариев.
| |
|
3.95, Аноньимъ (ok), 11:05, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
>Атакующий может быть тем самым настоящим провайдером "точки беспроводной связи": кафешка / гостиница / etc. со своей точкой доступа. И ничего ломать не надо.
Ну или просто обычный провайдер, любой проводной или безпроводной.
| |
|
|
1.20, richman1000000 (ok), 23:04, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да это просто тупость. Все об этой фигне знали. Много лет
Суть в том что вы доверяете сертификату, который рассполагается у разных админов на разных службах.
| |
|
2.91, anonymous (??), 10:25, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Почему "у разных админов"? Проблема не в "разных админах", а в том, что админ рассматривает HTTP и FTP -- как две независимых службы, которые друг на друга не влияют и не вредят. Что позволяет открыть анонимный доступ на FTP, например.
| |
|
1.31, Kuromi (ok), 23:20, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
FTP? Ну очень вовремя,особенно на фоне полного удаления поддержки этого протокола из браузеров.
Кроме того, FTPS вообще всегда был изрядной редкостью.
| |
|
2.121, Аноним (8), 14:57, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Для этой атаки не нужна поддержка FTP в браузере. После удаления ФТП браузер всё так же остаётся уязвим.
| |
|
1.36, Онаним (?), 23:34, 09/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Нереал. Тчк.
Протоколы настолько между собой несовместимы, что подставить ложный ответ без модфикации софта на сервере не получится. А если есть такой доступ - собственно уже все ключи сертификатов есть, и не надо извращаться.
| |
|
2.37, Онаним (?), 23:37, 09/06/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Если кто невдогнал, то:
1. "Upload": для успешной атаки злоумышленнику требуется затем каким-то образом извлечь сохранённое содержимое. Ключевое слово - "каким-то". Давай, до свидания.
2. "Download": атакующий в результате каких-то отдельных манипуляций может разместить данные в сервисе - ага, да ещё так, чтобы они вместе с обёрткой исходный протокол сымитировали. "Каких-то" - ключевое слово. Давай, до свидания.
3. Метод основан на возвращении клиенту части запроса, в котором содержится отправленный атакующим JavaScript-код. Вот только проблемка, снова надо в протокольчик обернуть. Туда же.
| |
|
3.42, vitalif (ok), 23:46, 09/06/2021 [^] [^^] [^^^] [ответить]
| +6 +/– |
Я нашел уязвимость в замке входной двери! Если злоумышленник каким-то образом зайдет внутрь квартиры и вынесет оттуда запасной ключ, то замок можно будет легко открыть извне!
| |
3.45, Sw00p aka Jerom (?), 23:49, 09/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Вот только проблемка, снова надо в протокольчик обернуть. Туда же.
ну да, ток не понятно как у них вот это работает
220 1237cfa6400d ESMTP Postfix
HELO example.com
250 1237cfa6400d
MAIL FROM: example <script>alert(1);</script>
555 5.5.4 Unsupported option: <script>alert(1);</script>
| |
|
4.46, Онаним (?), 23:55, 09/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Только на говносерверах, которые отдают невалидированные данные.
Dovecot и Exchange мимо, остальные в топку.
| |
|
5.141, penetrator (?), 20:16, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
я вот тоже нехрена не понял
у меня есть 3 сервиса на разных портах, например SMTP, POP3, HTTP
все на одном домене, и на одном и том же сертификате
каким образом можно скормить браузеру ответ от моего SMTP сервера?
ну он же не сожрет это, потому что протокол невалидный, несовместимые команды
не? я что-то не понял?
| |
|
4.53, Онаним (?), 00:10, 10/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну и блин, браузер, который это отобразит - надо закапывать первым.
Потому что перед <script>...</script> должны быть HTTP/1.1 200 OK, корректные хедеры, и двойной CRLF.
| |
|
5.67, Sw00p aka Jerom (?), 00:36, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Ну и блин, браузер, который это отобразит - надо закапывать первым.
Internet Explorer - может все :) в оригинале статьи все расписано и все вопросы отпадают.
| |
|
4.54, Онаним (?), 00:11, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Короче, то, что они смогли <script> выдать - ещё не значит, что он где-то обработается.
О чём и речь. Свистопляска вокруг потенциальной шкуры сферического медведя Шрёдингера в вакууме.
| |
|
3.86, дауненок (?), 09:54, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
shared-хостинги и дыры в них вот это вот отлично включают, т.е. это утилитарная атака, дополняющая уже существующие дыры и их расширяющая
| |
3.187, edo (ok), 03:09, 12/06/2021 [^] [^^] [^^^] [ответить] | +1 +/– | если у злоумышленника есть права на аплоад, то вроде бы всё выглядит реальным 1... большой текст свёрнут, показать | |
|
4.188, edo (ok), 04:12, 12/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
аналогично, похоже, можно подсунуть браузеру нужный ответ (с js, например).
| |
|
5.192, Онаним (?), 10:23, 12/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
С ответом уже сильно сложнее, вплоть до нереалистичности.
В теории да, можно залить подготовленный файл с хедерами и телом, но надо точно знать, на какой запрос отвечать, иначе MITM сразу же спалится.
| |
|
4.189, Онаним (?), 10:17, 12/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Сущая мелочь:
1) Надо иметь права на FTP-сервере, именно том, что необходимо "подсмотреть", в том числе на аплоад
2) Надо иметь возможность MITM для соединения клиента, рвать соединение не обязательно, можно проксировать в нужную сторону
3) Надо ещё как-то определить конкретный запрос, который перенаправлять, тут открытость SNI конечно поможет, SNI давно надо закрывать
По сути комбинация п.1 и п.2 - это сложно, разные зоны ответственности разных лиц.
А если (1) получено путём лома сервера - скорее всего смысла в (2-3) уже нет.
| |
4.191, Онаним (?), 10:21, 12/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Но да, ваше описание атаки таки куда более реалистично, нежели "подмена ответа".
Это хотя бы действительно сработает, хоть и имеет высокую сложность и малый шанс реализации.
| |
|
|
|
1.49, Alexey (??), 00:03, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Простите в чём суть атаки - в контроле над шлюзом? А как на счёт в контроле над провайдером.. или выше..
| |
|
2.51, Аноним (51), 00:07, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Магистальные провайдеры давно беспардонно вмешиваются в трафик. Про местячковых я бы особо не переживал -- ты им деньги несёшь.
| |
2.52, Онаним (?), 00:08, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Суть атаки - в попытке с самого клиента послать то, что хочется получить в ответ той софтиной, откуда послано.
| |
|
3.71, Alexey (??), 02:34, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
В наших условиях это сервисная функция ПО стоящего за HTTP, судя по возможностям закладываемых при программировании как клиентов, так и серверов. Будут "чудесней" программировать, будет "чудастей" результат.
| |
|
|
3.132, Alexey (??), 16:52, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Нет ни чего нового в данной атаке, если им нужно захватить контроль над сегментом. С таким же успехом "мамкин хакер" расшаривает свой wifi дома.
| |
|
4.197, anonymous (??), 12:21, 12/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Новое то, что можно обойти буковки "S" в HTTPS обладая доступом лишь к роутеру.
| |
|
3.142, Онаним (?), 20:45, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Нет :D
Кроме того, к внедрению в чужой трафик это отношения не имеет.
Там суть в получении назад кусков отправленного запроса, который в теории позволил бы CORS обойти.
Но толку нет, потому что чтобы запрос отправить - надо УЖЕ внедриться.
| |
|
|
1.55, Аноним (56), 00:15, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А кто-то ещё пользуется браузерами для работы с почтой и разрешёнными скриптами?
| |
1.70, BrainFucker (ok), 01:34, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
> перенаправить на почтовый сервер, в котором используется общий с bank.com TLS-сертификат.
Ага, только для этого нужно ещё захватить контроль над этим почтовым сервером. Только причём тут высосанная из пальца "уязвимость" в TLS, когда для реализации требуется захват контроля надо сервером?
| |
1.72, Аноним (72), 03:11, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"We could confirm that this is indeed the case for Internet Explorer and Edge Legacy, while all other tested browsers do not perform content-sniffing and thus do not execute JavaScript in noisy responses."
Атаковать MSIE есть способы и попроще :)
| |
1.73, Аноним (73), 03:36, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Про эту уязвимость знали уже давно, поэтому и убралли ftp mixed content еще год назад
| |
|
2.77, Аноним (77), 07:00, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Только все упомянутые в той презентации методы "взлома" TLS сводятся к фразе "Устанавливаем корневой сертификат на клиентское устройство". Там описано как получить доступ к TLS-трафику имея полный контроль над инфраструктурой и всеми рабочими станциями. Это для организации сканирования трафика на предприятиях.
| |
|
1.81, Онаним (?), 09:07, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Ещё одну вишенку на торте забыли.
Если обсуждать применение из браузера, то чтобы отправить что-то из выданного сайтом кода на соседний порт того же сервера - надо сначала каким-то образом вклиниться в выданный сайтом код, собственно.
Любители тянуть кучу чужого говна с CDN'очек могут пострадать, конечно, но так им и надо.
| |
|
2.82, Онаним (?), 09:09, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Ну и да, если мы уже вклинились в выданный сайтом код - на хрена нам эта "атака" для вклинивания? :D
| |
|
3.84, Аноним (73), 09:38, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Кто на куче рекламмы сидит им вообще пофиг ломают их или нет, главное бабло да и ваши данные продадут
| |
|
4.117, Аноним (-), 14:33, 10/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
bank.com под замком, заходить - ишаком, станешь битым мужиком, а не - просто му-ком
| |
|
|
|
|
2.109, Аноним (109), 12:46, 10/06/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
>JS блокируем.
К сожалению, в окне браузера может оказаться пусто.
| |
|
1.112, Аноним (112), 13:09, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>В ходе MITM-атаки этот запрос, адресованный web-сайту bank.com, можно перенаправить на почтовый сервер, в котором используется общий с bank.com TLS-сертификат
Минуточку, т.е. вам нужен рутовый доступ к самому серверу, чтобы на нём перенастроить скажем SMTP и выдавать вредоносный код вместо ошибки... Вопрос, зачем вообще вся эта чушь, когда подразумевается, что у атакующего уже есть полный доступ к серверу на котором есть нужные сертификаты? зачем доступ к шлюзу, если можно прямо на сервере порт форварднуть... да блин, доступ уже рутовый, зачем весь этот бред, в чём вообще суть атаки?
| |
|
2.136, Аноним (136), 18:13, 10/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
>доступ уже рутовый, зачем весь этот бред, в чём вообще суть атаки?
Ну, типа для того, что бы манагерам пришла мысль, у админов отобрать еще больше прав! А то будут перехватывать чужие куки на почтовом сервере!
| |
2.165, kmeaw (?), 08:30, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Нет, рутовый доступ не нужен. Достаточно иметь возможность влиять на трафик пользователя, например с помощью DNS направить bank.com на свой $evilserver, который перенаправляет $evilserver:443 на mx.bank.com:465. А затем дать пользователю ссылку на https://bank.com/<script.../>, а после установки соединения направлять последующие запросы из этого <script/> уже на настоящий bank.com:443.
| |
|
3.174, Аноним (112), 10:59, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
ну апупеть - всего-то нужно иметь корневой сертификат... Опять же зачем все эти пляски с подстановкой других сервисов, если мы уже можем тупо перехватывать трафик и проксировать запросы?
| |
|
4.177, kmeaw (?), 14:56, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Не можем, потому что у нас нет корневого сертификата. Это расширенный вариант атаки, где на стороне сервера есть скрипт echo.cgi?q=12345, возвращающий строку 12345. Только теперь это делает не веб-сервер, а ftps- или почтовый сервер, находящийся на другой (но тоже принадлежащий тому же владельцу) машине. А злоумышленник подставляет вместо безопасного https-сервера другой сервер, который разговаривает по другому (но тоже завёрнутому в tls) протоколу, ответы которого браузер пользователя ошибочно интерпретирует, как http-ответы.
| |
|
5.182, Аноним (112), 16:44, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Вы кажется забыли, что почтовый сервер, чтобы тупо открыть соединение должны поручкаться с клиентом по TLS, а это значит что сертификат на сервере должен соответствовать адресу атакуемого сервера. Ну что за наркомания...
| |
|
6.190, Онаним (?), 10:20, 12/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
В этом и смысл атаки - они хотят передать в SMTP HTTP и получить его назад.
Вот только невозможно это.
Более реальную атаку мне тут выше обрисовали - да, в теории с помощью этой атаки можно залить куки на FTP, это действительно сработает. В теории.
На практике там понадобится иметь аккаунт R/W на этом самом FTP, что для того же bank.com крайне маловероятно, и _одновременно_ MITM на клиенте, что вдвойне маловероятно.
| |
|
|
|
|
|
1.119, gogo (?), 14:53, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Прикольно. Но ни один банк не делает голых html интернет-банкингов и не рекомендует пользователям отключить яваскрипт. Ибо программисты работы лишатся.
Ведь реально скрипты там нах не нужны...
| |
1.124, pavlinux (ok), 15:44, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> Суть атаки в том, что при наличии контроля над сетевым шлюзом или точкой беспроводного доступа ...
Опять рут нужен?
| |
1.134, Аноним (136), 18:10, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Так, стоп! Какой FTP?
Его еще несколько лет назад обещали "выпилить" из браузеров!
Если его поддержки нет в браузере - как он может что то там куда то отправлять, по протоколу "ftp://" ?
😨
| |
1.148, anonymous (??), 23:41, 10/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>на другой сетевой порт и организовать установку соединения с FTP или почтовым сервером, поддерживающими TLS-шифрование и использующими общий с HTTP-сервером TLS-сертификат
Никак не вкурю, у атакующего должен быть тру сертификат http сервера или он может свой подпихнуть? Если первое, то в чем проблема. Имея серт и так с трафиком можно обращаться как с не зашифрованным.
| |
|
|
3.151, anonymous (??), 00:47, 11/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Спасибо Анон, перечитал и с твоим комментом вкурил. Пусть Джа тебе только внятные маны заворачивает.
| |
3.152, Аноним (112), 01:59, 11/06/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
А на сервере, который будет принимать соединение и выдавать вредоносный код, от куда тогда сертификат должен взяться?
Хватит людей путать - вся эта атака полная чушь, подразумевающая, что админ должен профукать сертификат.
| |
|
4.153, anonymous (??), 02:14, 11/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
>т куда тогда сертификат должен взяться?
И я не пойму, держатель серта в любом случае контралирует траффик
| |
4.166, kmeaw (?), 08:32, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Нет, для успешного проведения атаки достаточно ленивого админа, который вместо выписывания отдельных сертов для www.bank.com и mx.bank.com либо выпишет один на все имена, либо вообще сделает *.bank.com.
| |
|
5.167, ыы (?), 09:26, 11/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
И? Злоумышленник в этом случае должен иметь доступ либо к инфраструктуре днс имен *.bank.com либо администрировать один из сайтов *.bank.com.
То есть паршивой овцой окажется кто-то из команды bank.com. Ну как один из админов яндекс-почты...
| |
|
6.168, kmeaw (?), 09:37, 11/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не обязательно, можно атаковать сетевую инфраструктуру. Способов полно - злоумышленник может поднять свою wifi AP, свой DHCP, сделать ARP spoofing на местный рекурсивный DNS, стать IPv6-роутером в IPv4-only сети, автосконфигурировать всем http-прокси с помощью wpad, владеть или атаковать какой-нибудь из маршрутизаторов между пользователем и bank.com.
| |
|
7.170, ыы (?), 09:43, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
И как это все даст ему доступ к внутренним логам сервиса зактытого TLS?
| |
|
8.171, kmeaw (?), 09:53, 11/06/2021 [^] [^^] [^^^] [ответить] | +2 +/– | Напрямую никак Это даст ему возможность запустить js-код в браузере пользовател... текст свёрнут, показать | |
|
|
10.176, kmeaw (?), 14:51, 11/06/2021 [^] [^^] [^^^] [ответить] | –1 +/– | Нет, нужен не сертификат, а наличие другого сервиса с сертификатом, соответствую... большой текст свёрнут, показать | |
|
|
|
|
|
5.169, ыы (?), 09:41, 11/06/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вы кстати как-то вот легкомысленно говорите про ленивость админа который выписывает отдельные сертификаты...
Это возможно если вы бесплатные сертификаты с летскрипта выписываете. А вот если вы покупаете нормальные сертификаты, заверенные, с повышенным доверием - то разница в ценнике между *.bank.com и десятком "чтототам".bank.com будет заметная. И тем более если админ имеет возможность САМ выписывать эти сертификаты, там ценник вообще отрывается на порядок... Для конкретно банка- эти суммы может и не в тягость...но "*.bank.com" ведь для примера приведен. Это ведь может быть и не банк а просто предприятие. Которому все эти траты могут быть и не очень приятны.
| |
|
6.172, kmeaw (?), 09:56, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
Согласен, дело может быть не только в лени, но и в желании сэкономить.
> может быть и не банк а просто предприятие. Которому все эти траты могут быть и не очень приятны.
Небольшое предприятие скорее всего воспользуется бесплатным letsencrypt, чтобы избежать трат.
| |
|
|
|
|
|
1.175, Аноним (175), 12:23, 11/06/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Разве проблема тут не в том, что разным сервисам раздают одинаковые серты, да еще и от банка?
Значит после взлома маршрутизатора, предполагается взломать еще и ftp
| |
|
2.178, kmeaw (?), 15:02, 11/06/2021 [^] [^^] [^^^] [ответить]
| +/– |
> Разве проблема тут не в том, что разным сервисам раздают одинаковые серты, да еще и от банка?
Именно в этом.
> Значит после взлома маршрутизатора, предполагается взломать еще и ftp
Нет, не придётся. Достаточно направить на другой сервер с тем же сертификатом http-запрос, содержащий контролируемую злоумышленником строку, которую тот вернёт в виде "ошибка: неизвестная команда: GET /строка...". А в случае ftp можно ещё воспользоваться тем, что данные передаются по отдельному соединению (тоже с tls), и тогда не придётся расчитывать на то, что браузер правильно угадает Content-Type.
| |
|
|