Jessica Haworth 15 Kasım 2022, 15:39 UTC
Güncellendi: 15 Kasım 2022, 15:47 UTC
Yamalı hata, kimlik bilgilerini sızdırmış olabilir
Bir araştırmacı, Mastodon’un bir çatalı olan Glitch’teki bir güvenlik açığı nedeniyle saldırganların Mastodon kullanıcılarının parola kimlik bilgilerini çalabileceği konusunda uyardı.
Mastodon, son haftalarda tartışmalı iş adamı Elon Musk tarafından satın alınan Twitter’ın yerine birçok kullanıcının sosyal medya platformuna geçmesiyle popülaritesini artırdı.
Gareth Heyes, “infosec Twitter’daki herkes infosec.exchange Mastodon sunucusuna atlıyor gibiydi, bu yüzden yaygaranın neyle ilgili olduğunu görmeye karar verdim,” dedi. PortSwigger Araştırması*, bugün yayınlanan bir blog yazısında yazdı.
Heyes, Chrome’un otomatik doldurma özelliğini kullanarak, onları bir araç çubuğu olarak gizlediği kötü amaçlı bir öğeyi tıklamaları için kandırarak, kullanıcıların kayıtlı kimlik bilgilerini çalabildiğini fark etti.
Web güvenlik açıkları hakkında en son haberlerin devamını okuyun
Mastodon’un kullanıcıların HTML yayınlamasına izin verdiğini keşfettikten sonra Heyes, diğer kullanıcılardan kullanıcı adını girerek sahte bir mavi ‘resmi’ onay işareti alabildiğini öğrendi.
Aşağıdakileri yaparak dizeyi, başlık özniteliğinin içindeki bir bağlantı metni düğümünün içine yerleştirdi:
Giriş:
Çıktı:
Bu, doğrulanmış yer tutucunun çift tırnak içeren bir resimle değiştirilmesi nedeniyle Heyes’in HTML filtresini başarıyla atlamasına izin verdi.
Heyes, “Rastgele HTML ekleyebildiğim için filtre tamamen yok edildi, ancak son bir şey önümde durdu: Nispeten katı bir İçerik Güvenliği Politikası (CSP) kullandılar” diye yazdı Heyes.
“Herhangi bir HTTPS URL’sine izin veren iframe’ler dışında, hemen hemen her kaynak infosec.exchange ile sınırlıydı.”
sahte
Heyes daha sonra form öğelerini enjekte edebileceğini fark etti ve bu, Chrome otomatik doldurma özelliğiyle birleştirildiğinde bir saldırganın kimlik bilgilerine erişmesine izin verecek bir şifre formunu taklit etmesine olanak tanıdı.
Daha da kötüsü, araştırmacı aşağıdaki araç çubuğunu taklit edebildi. Bir kullanıcı sahte araç çubuğunun herhangi bir öğesini tıkladığında, kimlik bilgileri saldırganın sunucusuna gönderilir.
Heyes, girişler görünmez olduğunda kimlik bilgilerini otomatik olarak doldurup doldurmayacağını görmek için Chrome’u test etti. Bir saldırgan sıfır opaklık değeri kullanırsa, Chrome yine de kimlik bilgilerini kolayca doldurabilir.
CSP nedeniyle Heyes, satır içi stilleri kullanamadı. Ancak, CSS dosyalarına baktığında, “birkaç saniye içinde” olan ve “mükemmel çalışan” bir sınıf buldu.
açıkladı günlük yudum: “Post metin alanına PoC kodunu ekleyin ve yayınla düğmesine basın – [the] kullanıcı görür [the] bir Mastodon araç çubuğu olduğunu düşündükleri şeyi yayınlar ve tıklar. kimlik bilgileri [then] harici bir sunucuya gönderilir.
“Gerçek bir saldırıda kimlik bilgileri saklanacak ve kullanıcı siteye geri yönlendirilecek.”
Azaltmalar
Heyes, Mastodon’un Gitch çatalını kullanan herhangi bir Mastodon örneğinin savunmasız olduğunu açıkladı ve sunucu savunmasız olduğu için “bir kullanıcının kendini korumak için yapabileceği pek bir şey olmadığını” ekledi.
“Ancak, kimlik bilgilerinin çalınmasını önlemek için parolanızı yalnızca kullanıcı etkileşimi ile otomatik olarak doldurmanız iyi bir fikir olacaktır.”
Heyes, hatayı doğrudan Glitch’e bildirdi. Katkıda bulunanlar, sorun için Glitch deposunda bulunan bir yama yayınladı.
* PortSwigger Research, The Daily Swig’in ana şirketi olan PortSwigger Ltd’nin araştırma koludur.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR Google Pixel ekran kilidi hack’i araştırmacıya 70 bin dolar kazandırdı