攻击者可以从谁滥用上存在的雅虎开发者网络网站功能访问一个恶意网页雅虎用户的帐户读取电子邮件,联系人和其他私人数据,根据独立安全研究员。
攻击的有限版本在布加勒斯特,罗马尼亚DefCamp安全会议上提出在周日,由名为的Sergiu Dragos的波格丹罗马尼亚的Web应用程序漏洞猎手。
在他的演讲中,研究人员展示了如何基于Web的YQL(雅虎查询语言)控制台,可在developer.yahoo.com网站上,可以被攻击者滥用代表谁访问恶意网站身份验证的雅虎用户的执行YQL命令。
YQL类似于SQL(结构化查询语言),是由雅虎创建的编程语言。它可以用来查询,过滤器,并结合存储在数据库中的数据。
雅虎开发者网站提供访问基于Web的控制台,开发人员可以使用针对雅虎自己的数据库运行YQL查询学习和测试YQL。
未认证用户只能对含有公开可见雅虎信息表,如雅虎问答,雅虎天气等服务信息运行YQL查询。然而,它们已通过认证的时候,用户还访问包含自己的雅虎账户数据,包括电子邮件,联系人和私人档案信息表。
当在控制台的“YQL声明”字段中输入一个查询,“测试”按钮被按下,被称为“面包屑”的用户会话特定的授权码也与请求一起提交。当用户访问YQL控制台页面,并自动插入表单请求产生的碎屑。
在演讲中,提出了波格丹证明了概念验证(PoC)攻击,加载特定developer.yahoo.com URL的iframe内页。当攻击页面由经过身份验证的雅虎用户访问 - 使用测试帐户 - iframe中返回的访问者的面包屑代码。
然而,内置到浏览器中的安全机制不允许在一个域名的上下文中运行代码从托管在已加载的iframe中不同的域的网页读取内容。这意味着,当访问者自己可以看到攻击页面上的面包屑的代码,这要归功于IFRAME被加载在他的浏览器,攻击页面本身无法读取的代码或自动使用它来验证利用受害者的雅虎YQL查询会话。
在这种情况下,攻击者需要欺骗用户入给他的网页上显示的密码。由于屑实际上是随机的数字和字母组成的字符串 - 例如“y5XAjn1fKIQ” - 波格丹内置攻击网页上假的CAPTCHA测试,并使它看起来好像碎屑在iframe中显示的竟是验证码验证字符串用户不得不输入以解决该测试。通过求解假CAPTCHA,用户实际上是授权YQL查询,以他的名义进行。
使用假的验证码是不是一个新的攻击方法。它已被记录为一个技术之前旁通跨域限制,并且有已知的正被攻击者成功地使用这种方法的情况下窃取安全令牌。赛门铁克去年报道垃圾邮件发送者使用了一个非常类似的技术来从Facebook用户,这让他们以代表他们交垃圾链接盗取反CSRF(跨站请求伪造)代码。
在他的PoC攻击,波格丹使用YQL命令来改变雅虎的数据库用户的雅虎个人资料的状态,但可以用同样的方法来运行YQL查询返回一个数字从用户的雅虎电子邮件帐户的电子邮件,或其他私人信息。
为了实际读取电子邮件,攻击者需要使用另一种方法,这将迫使数据返回到他的服务器。波格丹说,他知道该怎么做,但不想透露他的演讲道德原因时方法。
然而,他同意私下表明它在会议的组织者之一的情况下,使用测试的电子邮件帐户。
此外,他说,整个攻击可以通过利用位于其他地方的developer.yahoo.com网站尚未未公开的漏洞,是完全自动的。
这意味着攻击者不再需要使用CAPTCHA招,他说。用户只需要访问特制的网页。
由于攻击利用多个安全问题,并使用几种不同的技术,波格丹称之为“混合威胁”。
他说,他计划一旦他有一段时间把一切都在一个适当的报告,分享他与雅虎的调查结果。
在此期间,雅虎可以阻止通过阻止未授权的第三方网站从一个iframe中的developer.yahoo.com域的页面加载这样的攻击,研究人员说。
这种类型的防御是常用的抗点击劫持也依靠合法的网页加载iframe内和滥用攻击。它可以通过头部来实现所谓的多数民众赞成由现代浏览器都支持X-FRAME-OPTIONS,或者使用所谓的“框架破坏”的JavaScript代码,其中有一个还致力于传统浏览器的好处,但被称为是不太可靠。
雅虎没有回应置评关于在DefCamp呈现波格丹的证明了概念的攻击,他建议解决方案的请求作出回应。
波格丹尚未这样做的Web漏洞研究了很长的时间。然而,他最近获得来自谷歌现金奖励和上市公司的名人堂应用安全厅查找和报告在公司网站的一个漏洞。
谷歌,Mozilla的,Facebook和贝宝贯穿他们支付研究员谁负责任地披露自己的网站中发现的漏洞错误赏金计划。其他公司,如微软,不要用手出金钱奖励,但通过特殊的感谢页面在其网站上公布他们的名字承认研究人员得到的帮助。