kafeman Dec 21 2011 at 22:43

CSRF уязвимости на примере ХабраХабра

3 min

30K

Information Security*

+343

Comments 67

theslim Dec 21 2011 at 22:55

в представленном скрине кармы голосов 60, а на данный момент у вас 8 голосов. Как?

kafeman Dec 21 2011 at 22:57

Воспользовался обнулением кармы.

Injected Dec 21 2011 at 23:49

Кстати можно было еще как вариант впихнуть img в профиль а картинку залить на свой сервер с правильным .htaacess и туда заинклудить ваш запрос при помощи php.

kafeman Dec 21 2011 at 23:50

Я бы не получил Cookie.

UFO landed and left these words here

kafeman Dec 21 2011 at 23:03

Я не воспользовался этой уязвимостью. Да, дурак.

UFO landed and left these words here

scorp13 Dec 22 2011 at 01:39

Нет, не дурак.

ngreduce Dec 22 2011 at 01:59

Тогда бы НЛО вас не простило. А так вы стали героем)

buger Dec 21 2011 at 23:03

На самом деле для кросс-доменных запросов очень удобно использовать расширения в Google Chrome, так как там они разрешены.

kafeman Dec 21 2011 at 23:04

Я буду просить об этом жертву? Поставьте, мол, такое то расширение, а то я не могу вас атаковать!

kmeaw Dec 21 2011 at 23:07

Достаточно написать удобное расширение для пользователей хабра, которое, заодно, будет и автору карму поднимать.

kafeman Dec 21 2011 at 23:10

В таком случае всё становится очень просто и не интересно. Я за спортивный взлом!

Injected Dec 21 2011 at 23:51

расширения для chrome легко разбираются и рано или поздно, а скорее рано его бы вычислили.

buger Dec 21 2011 at 23:05

ой, немного не в тему получился комментарий, не до конца врубился в начале )
Но все равно кому то пригодится )

vip_delete Dec 21 2011 at 23:10

При голосовании всяко передаются кукисы с идентификатором сессии, заголовок X-Requested-With можно передать и в форме, и еще вы забыли сказать, что те пользователи, от имени которых идет скрытное голосование, должны быть авторизованы на хабре.

kafeman Dec 21 2011 at 23:12

Кукисы передаются. Люблю Flash!

vip_delete Dec 21 2011 at 23:15

Я не понял, почему у вас 404 ошибка получалась. Видимо, просто не все POST параметры передавали. Тут нет никакой разницы Ajax это запрос или нет.

kafeman Dec 21 2011 at 23:17

404 потому что разработчики Хабра с юмором. На многие страницы, если у вас нет к ним доступа, даётся эта ошибка.

burdakovd Dec 22 2011 at 01:06

При прочтении вашего комментария, из-за «404» в начале, подсознательно показалось, что его amarao написал :)

kafeman Dec 21 2011 at 23:25

Кстати разница есть. Как раз об этом и была статья — вы пропустили главное :-)

undead_ekb Dec 21 2011 at 23:15

kafeman, беги за инвайтом

kafeman Dec 21 2011 at 23:17

Мне deniskin за сообщение об уязвимости уже дал один ещё несколько дней назад.

mr_avi Dec 21 2011 at 23:19

А разве нельзя curl-ом послать нужные хэдэры? Или через JSONP.

kafeman Dec 21 2011 at 23:21

Нет, т.к. нужны Cookie пользователя.

alekciy Dec 22 2011 at 06:52

Я тоже сначала подумал в этом же духе. Но как то забылось, что атака то ведется через браузер жертвы. Поэтому получить куки с него мы не можем. И сформировать нужный заголовки тоже. Точнее не могли если бы не флеш.

Evengard Dec 21 2011 at 23:31

А на referer проверки тож не идёт? Зря помом, зря. А то, как тут говорили, можно подделать с помощью всяких аддонов. referer конечно тоже подделать можно, но всё ж…

kafeman Dec 21 2011 at 23:33

Я не знаю, но лишним не будет. Я только точно знаю, что проверяется X-Requested-With.

EvgeniyKirov Dec 21 2011 at 23:35

Теперь это пост любви к django.middleware.csrf.CsrfViewMiddleware

egorinsk Dec 22 2011 at 00:02

Мне интересно, чем думают люди, которые так легко, одним движением руки, разрешают кроссдоменные запросы с любого сервера? Что у них в голове? или это орудует то самое новое поколение кодеров, которое привыкло бездумно копипастить файлы и куски кода из интернета? Впрочем, я никогда и не считал флешеров настоящими программистами, мышкой квадратики перетаскивать-то много ума не надо.

kafeman Dec 22 2011 at 00:06

На самом деле разработчики Хабра мне показались людьми хорошими. А разрешение они это дали, будете смеяться, для рекламы :-). (И ещё для habrastorage).
А многие Flash-программисты пишут всё в коде, без «квадратиков». Точно знаю, что так пишут программисты ВКонтакте.

vmysla Dec 26 2011 at 18:52

прочитав статью — первым делом захотел проверить именно habrastorage. посмотрел crossdomain, cookie, whois — все в порядке… потом увидел этот комментарий)) спасибо за пост!

GearHead Dec 22 2011 at 05:01

вы слышали о таком понятии, как API на сайтах?
уязвимость закрывать надо было, а не кросс-домен перекрывать. сам по себе последний безопасен.

egorinsk Dec 22 2011 at 06:02

При чем тут уязвимость? Что вы за бред пишете? Если вы размещаете на своем сайте crossdomain.xml с allow-access-from = "*", вы открываете всем хакерам доступ к своему сайту. Это не уязвимость, так как это поведение документировано Adobe. Это халатность и безответственность скорее.

GearHead Dec 22 2011 at 06:04

> Если вы размещаете на своем сайте crossdomain.xml с allow-access-from = "*", вы открываете всем хакерам доступ к своему сайту

ЛОЛШТО? :)

Ekstazi Dec 22 2011 at 00:53

Есть еще firebug и dragonfly

GearHead Dec 22 2011 at 04:56

разработчики хабра надеятся на отсутствие XSS? почему нельзя было встроить защиту от CSRF, а не перекрывать кроссдомен? если они потом захотят API сделать, да забудут про происшествие, и опять включат кросс-домен?

GearHead Dec 22 2011 at 05:04

и кстати, я правильно понимаю, что все LiveStreet более старших версий уязвимы?

alekciy Dec 22 2011 at 06:54

Хабр не на LiveStreet-е. А сам LiveStreet использует token-ы очень давно (если не с момента создания вообще).

ZiNTeR Dec 22 2011 at 17:41

Дожились… Оказывается habrahabr подняли на Livestreet :)

alekciy Dec 22 2011 at 18:43

Ну это известное заблуждение многих хаброжителей. Вплоть до того, что в каком-то из топиков в каментах было заявление о то, что нет народ, хабра крутиться не на LiveStreet-е.

kafeman Dec 22 2011 at 07:59

API у ХабраХабра, кстати, есть. Документация.

GearHead Dec 22 2011 at 08:01

там только GET-действия

BeLove Dec 22 2011 at 07:46

Забавно, заготовка этой же статьи про csrf на Хабре лежит локально)
А если бы копали дальше — нашли бы кое что с SQL, там уже интереснее :) все времени докопать нет.

UFO landed and left these words here

r_ii Dec 22 2011 at 12:23

Насколько я понимаю — нужно было всего-лишь послать правильный запрос? Тогда это также можно сделать модифицировав трафик с помощью HTTP дебаггера Fiddler2, или-же используя например IEWatch для ручного построения нужного запроса.

Wolverine Dec 22 2011 at 13:26

авторизационная cookie нужна еще, чтобы проголосовать от имени человека

r_ii Dec 22 2011 at 14:08

Ну а при чем здесь авторизация? И в первом и во втором случае вы авторизуетесь как обычно — через броузер. Вот дальше нужно послать специальный запрос, содержащий кроме куки, еще и X-Requested-With? Я правильно понимаю?
Если правильно — то добавить этот хедер можно с помощью Fiddler2 перехватив и модифицировав трафик вашего броузера. Также этот запрос можно построить с помощью билдера запросов в броузере (если таковой имеется в броузере).

kafeman Dec 22 2011 at 15:59

И да и нет. Вы правильно поняли, что нужно составить правильный запрос, но не правильно поняли кто его должен послать. Посылать его должна жертва, а нашедший уязвимость. В этом и состояла вся задача, решить которую удалось с помощью Flash.

ZiNTeR Dec 22 2011 at 17:44

Читайте внимательно: Уязвимость в том, что другой пользователь Хабра, открыв популярное приложение на vkontakte, автоматом проголосовал злоумышленнику в Карму…

UFO landed and left these words here

kafeman Dec 23 2011 at 21:40

Я тут где-то на Хабре видел топик о кейлогере во Flash. Так что когда обратно заходить будете, он вас и поймает :-)
Уж лучше проголосовать за топик, чем дать полный доступ к аккаунту.

lleo_aha Dec 22 2011 at 14:40

… запрос нужно выполнять с браузера жертвы… (авторизованного и не голосовавшего хабраюзера) — вот что пропущено вами и всеми подобными комментаторами

kafeman Dec 22 2011 at 16:00

не голосовавшего хабраюзера
Это есть в топике

lleo_aha Dec 22 2011 at 16:42

а это ответ не Вам :) это на коммент r_ii с http-дебаггерами

nick4fake Dec 22 2011 at 13:31

Все слишком сложно. Вы не пробовали консоль хрома? Прекрасно работает на любом домене

vla Dec 22 2011 at 14:37

Запрос будет только с вашими куками.

Voyager2K Dec 22 2011 at 14:22

Возможно, нетерпеливый читатель уже решил, что я нашёл элементарную, очевидную каждому дыру? Как бы ни так! Все мои попытки подделать запрос приводили к одному и тому же:

Брр, мож я чего не понял. Запрос, заголовки XML request, кроссдомены… А разве дырка не тупо в том что на серверной стороне не сверяется сессия пользователя? И никакие ид юзера передавать в скрипт не нужно, хост должен узнать пользователя и так — если тот «законопослушный» и дал верный SID.

vla Dec 22 2011 at 14:41

Проблема не в сессии, она и так проверяется.

kafeman Dec 22 2011 at 14:54

Не проверяется сам ли пользователь нажал на стрелочку или кто-то это сделал без его ведома.

kafeman Dec 22 2011 at 14:55

Точнее проверяется, но не точно. Я смог обойти эту защиту. Уязвимость исправили и сейчас уже так не сделать.

ivsedm Dec 22 2011 at 16:31

Неплохо так автору подняли карму ))

sphere Dec 23 2011 at 11:39

Она и в жизни теми же способами поднимается :)

puffofsmoke Dec 23 2011 at 09:13

> Если у вас нет сайта, то думая договариваемся за Profit с владельцем крупного приложения ВКонтакте и заливаем код к нему. Охват 50% пользователей гарантирован.

50% пользователей этого приложения будут залогинены на хабре?

Freem Dec 23 2011 at 12:35

Ага, 50% сидят на ферме

Nc_Soft Dec 26 2011 at 02:07

Я надеюсь получить мои куки с хабра и послать их куда-то никакое флеш приложение не может?

kafeman Dec 26 2011 at 14:30

Получить — нет, послать — только на страницу в домене habrahabr.ru