Yaklaşık dört ya da beş yıl önce, arkadaş ve diğer böcek Bounty Hunter Sam Curry MİSABİLİRİM KULLANIMiçine yüklenecek neyin mümkün olduğunu düşündüm Etiket, bir resmin yanı sıra“. Ne tuhaf bir soru. Ne sorduğunu gerçekten anlamadım ve Sam’in yanlış cevapları tahmin etmekten sıkıldığını sanıyorum, bu yüzden böyle görünen basit bir yük gönderdi:
Yüzeyde, bu normal bir HTML gibi görünüyor öğe, biraz daha yaklaşana ve fark edene kadar
src= Parametre bir görüntüye değil, .php ile biten bir web sayfası işaret ediyor. Doğrudan bu sayfaya giderseniz, şuna benzeyen bir şeyle istenirsiniz:
Baktığınız şey, www-antenticate’in bir uygulamasıdır. 2017’de bunu gömecek olsaydın Bir 3. taraf web sitesinde bir HTML düzenleyicisinde yük, sayfayı oluşturulanla görüntüleyen herkes
Etiket, sitemde oturum açmanızı isteyen bir kimlik doğrulama istemi görür. Şöyle görünüyordu:
Sadece inanılmaz. Sam’in böcek ödül dünyasında ne oturduğunu fark ettiğini sanmıyorum – bu aslında bir resim etiketine girebileceğiniz her yerde forumlar, yardım merkezleri vb. Benzersizdi, çünkü eklemenize izin verilen durumlarda Etiket ancak bir XSS yükü (CSP veya yerinde diğer korumalar nedeniyle) açamıyorum, nadiren bir uygulama gerçekten kötü amaçlı www-antikat sayfam olan harici bir “görüntü” yüklemenizi engelledi. Unutmayın: Bu 2017 idi, o zamandan beri çok şey değişti.
Bu vahiy SAM ile paylaştıktan sonra, bu sorunu birkaç hata ödül programına savunmasız olarak bildirdik ve büyük ölçüde vuruldu veya özledim. Bazı programlar (yahoo! Her örnek için Sorun – diğer programlar hiçbir şey ödemedi ve bunun bir tarayıcı sorunu olduğunu belirtti. Bu anlaşılabilir – bir bakıma, bu sorun olabilir düzeltmektarayıcı tarafından ed. Chrome ekibi, görüntü kaynaklarına yönelik arapsatlar arası kimlik doğrulama istemlerini önleyerek 2013 yılında bu açıkça düzeltmeye karar verdi. Sam, Mozilla’yı 2017’de aynı şeyi yapması için dilekçe verdi ve (acımasızca) harici yüklemeye izin vermek için değişikliği uyguladılar, www-teneferik istemleri Firefox sürüm 57 çevresinde bir yerde bir yerde görüntüle. Bundan muzdarip olan son (büyük) tarayıcı.
Apple Mail’deki sorun
Rapor ettiğimiz web programları aracılığıyla bir ödül alma olasılığından sıkıldım. Birkaç ay geçti ve bir epifanim vardı – bir spam e -postası şeklinde. Kısacası, bir e -posta spam filtremden kaçtı çünkü e -postanın bir fotoğraf dışında içeriği yoktu. Sadece büyük, büyük bir JPG görüntüsü. Bu bir fikre yol açtı – Ya bir e-postada bir www-onay tepki başlığının arkasında olan bir “fotoğraf” gönderirsem? Alıcı ne tür bir istemi görür? Hiç bir şey görürler mi?
İşe yaramıyor. Basitçe söylemek gerekirse, alıcı olduğunda neden işe yaramadığından emin değilim almak e -posta – ama istemi Ne zaman görünüyor cevap verme E -postaya. Bununla bir e -postayı yanıtladığınızda Yukarıda bahsettiğim yük, kullanıcı bu istemi sunar, bu da “bu sayfayı görüntülemek için” adlarını ve şifrelerini girmelerini ister:
Bu istem iki katlı bir sorun ortaya koyuyor. Bu birincisi, kullanıcıların zaten Apple cihazlarındaki belirsiz ve kafa karıştırıcı istemlerde kullanıcı adlarını ve şifrelerini girmeye aşina olması – Apple Keychain büyük bir suçlu.
Ancak bu bir anahtarlık istemi değildir – bir kullanıcı bu istemde kullanıcı adlarını ve şifrelerini girdiğinde, Kimlik bilgileri doğrudan sunucuma gönderildi.
İkinci sorun, URL’nin altında görüntülenen mesajı özelleştirmenin mümkün olmasıdır – yukarıdaki örnekte, “Apple Mail şifrenizi tekrar girmeniz gerekiyor!” Diye koydum. Bu, Diyar Direktifi aracılığıyla mümkün olmuştur:
Diyar =
Korunan bir alanı tanımlayan bir ip. Bir alem, bir sunucunun koruduğu alanları bölümlemesine izin verir (bu bölümlemeye izin veren bir şema tarafından desteklenirse) ve kullanıcılara hangi kullanıcı adı/şifre gerekli olduğunu bildirir. Diyar belirtilmezse, istemciler genellikle biçimlendirilmiş bir ana bilgisayar adı görüntüler.
Mozilla Geliştirici Portalı
Sonuçta – çok akıllı bir Apple Mail Kimlik Avlama Yöntemi elde edersiniz. Şimdi-anlayışlı bir kişi “Jonbottarini.com” un Apple ile ilgisi olmadığını ve muhtemelen istemi bir kullanıcı adı ve şifre girmeye şüpheci olacağını fark eder-ancak resmi seslendiren Apple alan adları ucuzdur!
Bu sorun MacOS High Sierra 10.13’ten MacOS Big Sur 11.2’ye Apple Mail’in sürümlerini etkiledi. Evet, bunu doğru okudunuz – birden fazla işletim sistemi aldı ve dört Bu sorunu tamamen çözmek için yıllar. Ancak dirgenlerden çıkmadan önce – tamamen Apple’ın hatası değil, çok uzun sürdü – hem Apple hem de benim sorunun sabit olduğunu düşündüğü iki yıllık bir dönem vardı – gerçekten olmadığında.
Zaman Çizelgesi:
- Bazen 2017’nin ortasından sonuna kadar (e -posta komşuları burada biraz dağınık) – Apple’a bildirilen sorun
- Ekim 2017 – Apple sorunu yeniden üretemiyor, ek bilgi ile cevap veriyorum
- Kasım 2017 – Apple’a sorunun yalnızca e -postayı yanıtlarken/iletirken ortaya çıktığını açıklayan daha ileri geri
- Bir ara 2018 – Apple, bu sorunun bir CVE için uygun olmadığını belirtiyor
- Temmuz 2018 – Apple, MacOS High Sierra 10.13 ve MacOS High Sierra 10.13.2’de sorunu çözdüklerini söylüyor
- Mayıs 2020 – Bu blog gönderisini yazmaya başlıyorum, ancak eski kavramların kanıtını test ettiğimde, yükün macOS Catalina 10.15.4 üzerinde tam olarak düzeltilmediğini fark ettim ve hala istemi alıyorum. Sorunun hala var olduğuna dair kanıtla Apple’a cevap verdi.
- Ekim 2020 -Apple, sorunu tekrar düzelttiklerini belirtiyor-Bir bypass’ı oldukça hızlı bir şekilde buluyorum (Apple Mail’de “e-posta şablonları” adı verilen önceden yapılmış bir özelliğin içine yüklenmiş gömülü bir görüntüye sahip bir e-posta göndererek). Apple iyileştirme üzerinde çalışmaya devam ediyor.
- Nisan 2021 – Durum güncellemesi istemeyi takip ediyorum. Apple, sorunun MacOS Big Sur 11.2’de çözüldüğünü belirtiyor
- Ağustos 2021 – Apple bana mavi bir e -posta gönderiyor, sorunun 5.000 dolarlık bir ödül (W0W!)
- Aralık 2021 – Ödül Ödeme + Bu yazı açıklanır.
¹ – Yazma sırasında Verizon Media Yahoo’ya geri döndü. Tam bir daire geldik.
Bu yazının bir taslağını incelemek için Sam Curry (@Samwcyo) ve Tanner’a (@itscachemoney) çok özel teşekkürler.
Twitter’da beni takip et En son Bugs + Bug Bounty Finds ile güncel kalmak için.