網域接管與物件參照漏洞分析

12 分鐘閱讀

網域接管漏洞利用 DNS 錯誤組態或第三方服務漏洞,攻擊者可控制子網域內容,進行網路釣魚攻擊或散播惡意軟體。不安全的直接物件參照(IDOR)漏洞則允許攻擊者繞過授權,直接存取或修改系統資源。這兩種漏洞都可能導致嚴重安全問題,例如資料洩露、系統破壞等。瞭解這些漏洞的成因、攻擊手法及防範措施,對於保障網站安全至關重要。本文將深入探討這兩種漏洞的技術細節、案例分析和防範策略,並提供程式碼範例和圖表說明,協助開發者建立更安全的 Web 應用程式。

網域接管漏洞:第三方服務的安全隱患

當網站依賴第三方服務來託管子網域時,它們同時也依賴於該服務的安全性。歷史上曾發生多起因第三方服務漏洞而導致的子網域接管事件,本文將深入探討其中幾個典型的案例,並總結相關的經驗教訓。

網域接管漏洞概述

網域接管漏洞是指攻擊者能夠控制一個或多個子網域的內容,通常是由於DNS組態錯誤或第三方服務組態不當引起的。這種漏洞可能導致多種安全問題,包括但不限於網路釣魚攻擊、惡意軟體分發和敏感資料洩露。

網域接管漏洞的技術細節

  1. DNS組態錯誤:當一個子網域的DNS記錄指向一個不存在或未正確組態的第三方服務時,攻擊者可能能夠接管該子網域。
  2. 第三方服務組態不當:某些第三方服務允許使用者註冊並使用特定的子網域,如果這些服務的組態不當,可能會導致子網域被未授權的使用者接管。

典型案例分析

2016年7月1日,安全研究人員Frans Rosen在向Legal Robot提交報告時發現了一個關鍵的安全漏洞。該公司的一個DNS CNAME記錄指向了Modulus服務,但該服務已經無法正常使用。Rosen嘗試存取該子網域,並發現由於Modulus的組態問題,他能夠接管該子網域。

技術細節
  1. CNAME記錄組態錯誤:Legal Robot的DNS組態中存在一個指向Modulus的子網域CNAME記錄。
  2. Modulus服務漏洞:Modulus允許使用萬用字元子網域覆寫更具體的子網域組態。
  3. 漏洞利用:Rosen利用該漏洞接管了Legal Robot的子網域,並提供了一個非侵入性的證明。

圖表翻譯:

此圖示展示了Rosen發現並接管Legal Robot子網域的過程。首先,他發現了指向Modulus的CNAME記錄。接著,他檢查該服務的狀態,發現該服務已經無法正常使用。隨後,他利用Modulus的組態漏洞成功接管了該子網域,並提供了非侵入性的證明。

Uber SendGrid郵件接管事件

2016年8月4日,安全研究人員Rojan Rijal發現Uber的SendGrid組態存在安全漏洞。由於Uber使用SendGrid的郵件服務,Rijal透過分析SendGrid的檔案,發現了Inbound Parse Webhook功能的安全隱患。

技術細節
  1. MX記錄組態:Uber為SendGrid組態了MX記錄,允許SendGrid代表Uber傳送郵件。
  2. Inbound Parse Webhook功能:SendGrid提供了一個功能,允許客戶解析並處理接收到的郵件內容。
  3. 漏洞利用:Rijal利用該功能接管了Uber的子網域,並設定了一個伺服器來接收相關郵件資料。
# SendGrid Inbound Parse Webhook範例程式碼
def process_inbound_email(request):
 """處理接收到的郵件內容"""
 email_content = request.POST.get('content')
 # 解析郵件內容
 parsed_content = parse_email_content(email_content)
 return parsed_content

def parse_email_content(content):
 """解析郵件內容"""
 # 省略具體解析邏輯
 return content
內容解密:

此程式碼範例展示瞭如何處理SendGrid的Inbound Parse Webhook請求。函式process_inbound_email接收郵件內容,並呼叫parse_email_content函式進行解析。該功能允許Uber處理接收到的郵件,但也可能被攻擊者利用來接管相關子網域。

防範措施

  1. 定期檢查DNS記錄:使用工具如KnockPy監控子網域的DNS記錄變化。
  2. 正確組態第三方服務:確保所有指向第三方服務的子網域都已正確組態。
  3. 監控子網域狀態:定期檢查子網域的傳回狀態碼,及時發現異常。
  4. 使用SSL憑證監控工具:如crt.sh,監控SSL憑證的註冊情況,及時發現未被使用的子網域。

競態條件漏洞:多執行緒環境下的安全隱患

競態條件漏洞發生在多個程式或執行緒競爭執行,並依賴於初始條件的情況下。當初始條件在執行過程中變得無效時,仍可能導致意外的結果。本文將探討幾個典型的競態條件漏洞案例。

HackerOne邀請功能的多重接受漏洞

2016年2月28日,一名安全研究人員發現HackerOne的邀請功能存在競態條件漏洞。該漏洞允許攻擊者多次接受同一邀請。

技術細節

  1. 邀請連結機制:HackerOne使用唯一的邀請連結來新增駭客到專案中。
  2. 競態條件:當多個請求同時處理時,可能會導致邀請被多次接受。
  3. 漏洞利用:攻擊者透過同時傳送多個接受邀請的請求,利用了該競態條件漏洞。

圖表翻譯:

此圖示展示了HackerOne邀請功能中的競態條件漏洞。攻擊者同時傳送多個接受邀請的請求,由於處理請求的時間差,可能導致邀請被多次接受,從而引發安全問題。

不安全的直接物件參照(IDOR)漏洞

不安全的直接物件參照(IDOR)漏洞發生在攻擊者能夠存取或修改對某個物件的參照時,例如檔案、資料函式庫記錄、帳戶等,而這些物件本來是不應該被攻擊者存取的。

簡單IDOR漏洞的發現

有些IDOR漏洞比其他漏洞更容易被發現。最簡單的IDOR漏洞類別似於前面的例子:識別碼是一個簡單的整數,會隨著新記錄的建立而自動遞增。要測試這種IDOR漏洞,只需在id引數上加或減1,並確認是否能夠存取不應該存取的記錄。

使用Burp Suite進行測試

可以使用網頁代理工具Burp Suite來執行此測試。網頁代理可以捕捉瀏覽器傳送到網站的流量。Burp允許監視HTTP請求、即時修改請求並重放請求。要測試IDOR漏洞,可以將請求傳送到Burp的Intruder,設定id引數的有效載荷,並選擇數字有效載荷來遞增或遞減。

圖表翻譯:

此圖示展示了測試IDOR漏洞的基本流程。首先,檢查目標網站的ID引數是否可遞增。如果可以,使用Burp Intruder進行測試;如果不可以,檢查其他可能的引數。接著,分析回應的狀態碼及內容長度,以判斷是否成功存取到私人記錄。

更複雜的IDOR漏洞

複雜的IDOR漏洞可能發生在id引數被埋藏在POST請求體中,或者無法透過引數名稱輕易識別。通常會遇到一些不明顯的引數,如ref、user或column被用作ID。

識別ID引數

即使無法輕易透過引數名稱識別ID,也可能透過檢查引數是否採用整數值來識別。當找到一個採用整數值的引數時,測試修改ID時網站行為的變化。同樣,可以使用Burp來簡化此過程,透過Repeater工具重放請求。

import requests

# 示範如何使用requests函式庫測試IDOR漏洞
def test_idor(url, params):
 response = requests.get(url, params=params)
 if response.status_code ==200:
 print("可能存在IDOR漏洞")
 else:
 print("未發現IDOR漏洞")

# 使用範例
url = "https://example.com/profile"
params = {"id":1}
test_idor(url, params)

內容解密:

此程式碼定義了一個名為test_idor的函式,用於測試目標網站是否存在IDOR漏洞。函式接收目標URL和引數字典作為輸入,向目標URL傳送GET請求,並根據回應的狀態碼判斷是否存在IDOR漏洞。程式碼簡潔有效,適用於初步測試。

使用隨機識別碼的IDOR漏洞

當網站使用隨機識別碼(如UUID)時,IDOR漏洞更難被發現。UUID是36個字元的字母數字字串,沒有明顯的模式。如果發現網站使用UUID,幾乎不可能透過猜測找到有效的記錄或物件。相反,可以建立兩個記錄並在測試過程中切換它們。

利用UUID進行測試

例如,假設正在嘗試存取使用UUID標識的使用者資料。先以使用者A的身份建立資料,然後以使用者B的身份登入,嘗試使用UUID存取使用者A的資料。

深入探討IDOR漏洞的防範與修復

要防範IDOR漏洞,開發者需要實施適當的存取控制機制,確保使用者只能存取被授權的資源。

存取控制的最佳實踐

  1. 實施嚴格的身份驗證和授權機制:確保使用者在存取敏感資料前已透過身份驗證,並且具備存取該資料的許可權。
  2. 使用間接參照:避免直接使用資料函式庫記錄的ID,而是使用間接參照(如會話ID或隨機生成的token)來存取資料。
  3. 檢查存取許可權:在每次存取操作前,檢查使用者的存取許可權,確保使用者只能存取被授權的資源。
from flask import Flask, session
app = Flask(__name__)

# 示範存取控制
@app.route('/profile/<int:user_id>')
def view_profile(user_id):
 if session.get('user_id') == user_id:
 # 使用者有許可權存取自己的資料
 return f"Welcome, user {user_id}"
 else:
 return "Access denied",403

if __name__ == '__main__':
 app.run()

均值分析與未來方向

  1. 定期進行安全稽核:使用自動化工具和手動測試結合的方式,定期進行安全稽核,及時發現並修復潛在的IDOR漏洞。
  2. 實施安全的開發實踐:在開發過程中遵循安全最佳實踐,如最小許可權原則和安全預設組態。
  3. 持續監控和更新:持續監控應用程式的執行狀態,及時更新和修補已知的安全漏洞。

網域接管漏洞和IDOR漏洞是兩種常見且危險的Web應用程式安全威脅。瞭解這些漏洞的原理和實際案例,有助於開發者建立更安全的網站架構,並有效防範相關攻擊。透過實施適當的安全措施和最佳實踐,可以顯著降低這些漏洞被利用的風險。

不安全的直接物件參照(IDOR)漏洞分析與防範

技術概述與背景

不安全的直接物件參照(Insecure Direct Object References, IDOR)是一種常見的Web應用程式安全漏洞。攻擊者可以透過操縱請求中的引數,直接存取未授權的資源,從而導致資料外洩或未授權的操作。IDOR漏洞通常出現在應用程式直接使用使用者提供的輸入來存取資料函式庫記錄或檔案系統資源時。

漏洞原理與風險

IDOR漏洞的核心在於應用程式未對使用者輸入進行適當的驗證和授權檢查。攻擊者可以利用這一漏洞,存取其他使用者的資料或執行未授權的操作。例如,在一個電子商務系統中,攻擊者可能透過修改訂單ID來存取其他使用者的訂單資訊。

漏洞範例:訂單查詢系統

GET /orders/123 HTTP/1.1
Host: example.com
Cookie: session=abc123

攻擊者可以嘗試修改123為其他數字,以存取未授權的訂單資料。

測試與驗證方法

要測試IDOR漏洞,可以按照以下步驟進行:

  1. 註冊多個帳戶:測試時應註冊多個帳戶,以便在不同帳戶間測試IDOR漏洞。
  2. 檢查引數:尋找可能包含ID值的引數,如iduser_id等。
  3. 使用Burp Suite:利用Burp Suite攔截和修改請求,測試應用程式是否容易受到IDOR攻擊。
  4. 檢查HTML原始碼:有時,敏感資訊會在HTML原始碼中洩露,需要仔細檢查。

程式碼範例與分析

以下是一個Python範例,展示如何修改administration_id引數來為不同帳戶建立應用程式:

# 修改administration_id引數的範例程式碼
import requests

# 原始請求資料
data = {
 "utf8": "%E2%9C%93",
 "authenticity_token": "REDACTED",
 "doorkeeper_application[name]": "TWDApp",
 "token_type": "access_token",
 "administration_id": "ABCDEFGHIJKLMNOP",
 "scopes[]": ["sales_invoices", "documents"],
 "commit": "Save"
}

# 修改administration_id
data['administration_id'] = 'NEW_ACCOUNT_ID'

# 傳送POST請求
response = requests.post('/user/applications', data=data)

# 檢查回應
if response.status_code == 200:
 print("成功建立應用程式")
else:
 print("建立失敗")

內容解密:

此程式碼範例展示瞭如何透過修改administration_id引數來為不同帳戶建立應用程式。攻擊者可以利用Burp Suite等工具攔截並修改請求,從而繞過許可權限制。

防範措施

要防範IDOR漏洞,可以採取以下措施:

  1. 使用間接參照:避免直接使用資料函式庫ID或UUID,改用間接參照或對映機制。
  2. 嚴格驗證許可權:在存取資源前,嚴格驗證使用者許可權。
  3. 使用不可猜測的ID:使用足夠隨機且不可猜測的ID,避免使用簡單的遞增整數。

圖表剖析:IDOR漏洞攻擊流程

@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle

title 網域接管與物件參照漏洞分析

package "安全架構" {
    package "網路安全" {
        component [防火牆] as firewall
        component [WAF] as waf
        component [DDoS 防護] as ddos
    }

    package "身份認證" {
        component [OAuth 2.0] as oauth
        component [JWT Token] as jwt
        component [MFA] as mfa
    }

    package "資料安全" {
        component [加密傳輸 TLS] as tls
        component [資料加密] as encrypt
        component [金鑰管理] as kms
    }

    package "監控審計" {
        component [日誌收集] as log
        component [威脅偵測] as threat
        component [合規審計] as audit
    }
}

firewall --> waf : 過濾流量
waf --> oauth : 驗證身份
oauth --> jwt : 簽發憑證
jwt --> tls : 加密傳輸
tls --> encrypt : 資料保護
log --> threat : 異常分析
threat --> audit : 報告生成

@enduml

圖表剖析:

此圖表展示了IDOR漏洞的攻擊流程。當使用者請求資源時,如果應用程式未驗證使用者許可權,攻擊者可以存取未授權的資源,從而利用IDOR漏洞。

實際案例分析

某電子商務平臺曾經出現IDOR漏洞,攻擊者可以透過修改訂單ID來存取其他使用者的訂單資訊。該平臺透過實施嚴格的許可權驗證和間接參照機制,成功修復了該漏洞。

IDOR漏洞是一種常見且危險的Web應用程式安全漏洞。透過嚴格驗證使用者許可權、使用間接參照機制和不可猜測的ID,可以有效防範IDOR漏洞。開發人員應在設計和實作Web應用程式時,充分考慮這些安全措施,以確保應用程式的安全性。

從技術架構視角來看,第三方服務整合的便利性與安全風險的平衡是一個持續的挑戰。本文分析了網域接管、競態條件和不安全的直接物件參照(IDOR)等漏洞,揭示了它們在不同場景下的技術細節和利用方式。案例分析涵蓋了DNS組態錯誤、第三方服務漏洞、多執行緒環境下的競爭條件以及IDOR漏洞的各種變體,深入剖析了攻擊手法和漏洞成因。技術限制深析部分指出,單純依靠引數名稱或數值遞增來檢測IDOR漏洞的侷限性,並提供使用UUID等隨機識別碼進行測試的思路。同時,強調了實務落地上,定期安全稽核、安全開發實踐和持續監控的重要性。玄貓認為,開發者應重視第三方服務的安全性,並將安全考量融入軟體開發生命週期的每個階段,才能有效降低這些漏洞帶來的風險。未來,隨著攻擊手段的不斷演變,更精細的檢測工具和更完善的安全框架將成為發展趨勢,以應對日益複雜的網路安全挑戰。

玄貓 BlackCat

玄貓 BlackCat

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。