banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận thâm nhập Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking  XML
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking 31/10/2011 22:14:14 (+0700) | #1 | 249353
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Hack account Facebook, Gmail, Yahoo mail… bằng HTTP Session Sidejacking

Tình huống:

Bạn vào một quán café , có dịch vụ wifi miễn phí, bạn hăm hở kết nối vào mạng, truy cập vào Facebook.com (FB). Sau vài phút, trên wall của bạn xuất hiện một dòng status do chính bạn viết mà không phải do bạn viết, ghi là “Account FB này đã bị thâm nhập bởi abcxyz” . Bạn hết hồn, tắt máy, nhưng sau đó mở máy lại, truy cập lại vào FB, nhưng kẻ bí ẩn nào đó vẫn đang giả danh bạn post lung tung. Bạn vốn tự tin là máy mình an toàn do đã cài đặt một trình antivirus update liên tục, không bao giờ tải các chương trình bậy bạ để máy bị dính trojan hay keylogger. Ấy vậy mà Account Facebook của bạn vẫn đang bị đánh cắp trước mũi bạn.
Chuyện gì đã xảy ra với account FB của tôi ? Làm sao nó lại bị đánh cắp một cách lãng nhách và nhanh chóng vậy ?

Vâng, rất có thể bạn đã là nạn nhân của một cuộc tấn công Session Sidejacking.

Session Sidejacking là kiểu tấn công không mới, nếu không muốn nói là nó xưa rích rồi, kể từ khi phiên bản HTTP 1.1 ra đời cùng với sự hỗ trợ session cookies

Session Sidejacking là gì ?

Đây là kiểu tấn công thuộc họ man-in-middle attack, mục đích là nghe lén đường truyền giữa người dùng và các máy chủ dịch vụ bằng các công cụ sniff rồi đánh cắp các dữ liệu quan trọng liên quan tới phiên làm việc của người dùng, rồi phục dựng phiên làm việc này trên một máy tính thứ 3.

Session Sidejacking đặc biệt hữu hiệu và dễ thực hiện khi nhằm vào mục tiêu là các phiên truy cập trên môi trường web. Hướng tấn công này trong môi trường web và giao thức HTTP chủ yếu là nhằm vào việc đánh cắp session cookies -1- định danh người dùng, qua đó khôi phục phiên làm việc hiện thời của người dùng rồi sau đó người tấn công sẽ có các biện pháp tấn công sâu rộng hơn để chiếm được mật khẩu tài khoản của người dùng

Nói ngắn gọn dễ hiểu, ở một mức độ nào đó, là người tấn công sẽ dễ dàng chiếm tài khoản Facebook, gmail, yahoo của người dùng bằng HTTP Session Sidejacking

Bài viết này chủ yếu nói về cách thức tấn công HTTP Session Sidejacking . Tức hình thức tấn công Session Sidejacking nhắm vào việc đánh cắp session cookies và phục dựng là HTTP Session.

Đặc biệt: Phương thức tấn công Session Sidejacking trong bài viết này không cần phải có card mạng hỗ trợ chế độ Promiscuous ( chế độ hỗn độn ) -2- . Đây là một bước tiến bộ so với các công cụ tấn công tự động như Firesheep, hamster & ferret, khiến việc tấn công session Sidejacking trở nên dễ dàng thực hiện đối với tất cả các card mạng hiện có. Nói cách khác, ai cũng làm được

----------------------------------------------------------------

Môi trường tấn công: một mạng wifi nhiều người dùng mà bạn cũng có quyền truy cập

Mô tả quá trình tấn công:

Như đã nói ở trên, Session Sidejacking là phương thức tấn công thuộc họ Man-in-middle attack, nó thực chất là sự kết hợp của 03 kĩ thuật tấn công khác nhau bao gồm ARP Poison Routing, Network Sniffing, Cookie injection.

Quá trình tấn công sẽ diễn ra qua các bước:

Bước 1: Kết nối vào mạng wifi, nếu bạn không có quyền truy cập thì bạn phải “crack” và tìm ra password truy cập mạng Wifi (tham khảo kỹ thuật crack wifi với aircrack-ng)

Bước 2: Thực hiện ARP Poison Routing, bước này nằm giúp bạn có thể biến máy tính của bạn trở thành một router giả danh nhằm mục đích sniff -3- dữ liệu được trung chuyển trên toàn mạng wifi. Bạn nên tìm hiểu thêm về APR Poisoning attack để hiểu rõ kĩ thuật này làm như thế nào và tại sao nó có thể được thực hiện

Bước 3: Sniff tất cả dữ liệu trung chuyển trên mạng wifi sau khi mạng này đã bị ARP Poison Routing

Bước 4: lọc ra dữ liệu đến từ người dùng cụ thể, ví dụ một người dùng có IP là: 192.168.1.138

Bước 5: tái dựng lại TCP stream của phiên truy cập website của người dùng, và bóc tách dữ liệu cookie của người dùng

Bước 6: Thực hiện cookie injection, nhằm chèn dữ liệu về cookie vào trình duyệt của người tấn công

Bước 7: Khôi phục hoàn toàn phiên truy cập web của người dùng trên máy tính của người tấn công

xnohat - HVA

----------------------------------------------------

-0- Session: Phiên làm việc. Để dễ hình dung một phiên làm việc là như thế nào bạn hãy mường tượng bạn đang mở một truy cập mới vào trang facebook.com bằng trình duyệt trên máy tính của bạn. Trình duyệt của bạn thực hiện việc mở một loạt các kết nối TCP/UDP tới máy chủ web của trang web www.facebook.com, ngay lúc này phiên làm việc của bạn đã bắt đầu, vì bạn đã bắt đầu có kết nối tới trang facebook.com . Thế nhưng phiên làm việc này chưa được xác thực, tức là bạn chưa đăng nhập. Trang web www.facebook.com chưa biết bạn là ai, và bạn chưa thể truy cập các dữ liệu của mình trên trang www.facebook.com . Sau đó bạn thực hiện việc đăng nhập bằng username và password của bạn, lúc này bạn đã được xác thực, FB biết bạn là ai, và bạn truy cập được các dữ liệu cá nhân của bạn trên FB. Phiên làm việc sẽ kết thúc khi bạn đóng trình duyệt lại, mọi kết nối giữa trình duyệt của bạn và máy chủ web của www.facebook.com hoàn toàn bị đóng lại.

-1- session cookies : Các session cookies là các mẩu dữ liệu nhỏ, có thể là các files hoặc các record trong CSDL của trình duyệt, làm nhiệm vụ lưu giữ một số thông tin liên quan đến phiên làm việc của người dùng trên một trang web. Từ sự giải thích về session ở trên bạn sẽ thấy rõ cách mà trang web www.facebook.com ( hay đúng hơn là máy chủ web của www.facebook.com ) duy trì việc nó biết bạn là ai, sau khi bạn đã đăng nhập bằng username và password của mình. Đúng vậy, http://www.facebook.com/ tạo một vài session cookies trên máy tính của bạn, trong đó nó lưu trữ một số thông tin liên quan tới username của bạn và một dạng mã hóa nào đó mật khẩu ( hiểu theo cách này cho đơn giản ), cùng với một số thông tin linh tinh khác. Sau mỗi lần bạn chuyển trang ( tức click vào hyperlinks và trình duyệt chuyển bạn tới một trang web khác dĩ nhiên vẫn thuộc địa chỉ http://www.facebook.com/ , ví dụ: http://www.facebook.com/xnohat/pic?id=abcxyz ) thì http://www.facebook.com/ lại đọc lại dữ liệu từ các session cookies này để biết bạn là ai, thay vì cứ mỗi lần bạn chuyển trang nó lại phải hỏi bạn thông tin đăng nhập như username và password

-2- Promiscuous mode ( chế độ hỗn độn ) : Chế độ hỗn độn là một chế độ hoạt động đặc biệt của card mạng wireless. Ở chế độ này, Card Wireless cho phép chính nó được phép nhận lấy tất cả các gói tin trong tầm với của nó (tầm thu sóng của nó), mặc cho gói tin đó có được gửi tới cho nó hay không. Nói cách khác, card mạng wireless được phép đọc lén các gói tin gửi cho các card wireless khác trong mạng ( rất bất lịch sự ). Chế độ này không được các nhà sản xuất đưa vào các card mạng wireless thông thường từ năm 2005 vì lý do chúng được tận dụng cho mục đích xấu nhiều hơn là mục đích tốt (tỷ dụ như thực hiện crack mật khẩu mạng wifi chẳng hạn). Do đó hiện nay ngoài việc kiếm mua một card wireless chuyên dụng có hỗ trợ tính năng này thì thật khó để bạn có thể thực hiện các kĩ thuật liên quan tới Network Sniff và APR Poisoning. Tuy nhiên, cái khó ló cái khôn, nhiều chuyên gia về mạng hàng đầu ( hay các hacker cực kỳ tinh thông ) đã đưa ra thư viện Pcap. Thư viện Pcap hỗ trợ một số kỹ thuật chuyên sâu như Monitor mode – RFMon (Wireless card only) , Port mirroring, Network taps … , giúp việc thực hiện cá tác vụ Sniff, APR Poisoning có thể thực hiện trên các card mạng không hỗ trợ Promiscuous mode

-3- Sniff : Bắt gói tin . Đây là một tác vụ thường thấy trong việc phân tích luồng truy cập mạng. Tác vụ sniff này có thể tưởng tượng như là một người A gởi thư cho người B , trên đường thư được giao từ người A tới người B thì người C lén sao chép nội dung của lá thư rồi tiếp tục mang đến cho người B. Người A và B không hề biết thư đã bị sao chép và đọc lén.
Thay người A , B ,C bằng máy tính A,B,C và lá thư bằng gói tin, “trên đường đưa thư” bằng “trên đường mạng”, bạn sẽ thấy ví dụ tôi đưa ra thực sự rất tương đồng

----------------------------------------------------------

Kỳ sau: Hướng dẫn tấn công HTTP Session Sidejacking Step-by-Step smilie

Khi nào up xong chục tấm hình minh hoạ và format cái bài viết sang BBCode xong thì post smilie

Tuy nhiên, tôi vẫn thích sẽ có sự thảo luận chuyên sâu về kĩ thuật trước khi bài viết hướng dẫn được đăng, vì thực hành chỉ là phần phụ, lý thuyết ở đây mới là thứ lý thú. Tôi luôn mong đợi các ý kiến đóng góp; Nhất là câu hỏi thắc mắc của anh em đặc biệt các câu hỏi dạng: Tại sao điều A lại làm cho điều B thực hiện được, Nếu điều A xảy ra thì có gì kéo theo không, Nếu tôi dùng điều C thì hiệu quả hơn chăng ? ...

Note: Title chỉ mang tính minh hoạ vì mục đích câu khách smilie Gmail và Yahoo mail hiện nay đều bắt buộc dùng HTTPS cho các phiên làm việc, chỉ còn facebook là còn bê bối
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking 31/10/2011 22:25:23 (+0700) | #2 | 249355
[Avatar]
xuanphongdocco
Member

[Minus]    0    [Plus]
Joined: 19/08/2009 08:25:03
Messages: 247
Offline
[Profile] [PM]
Hi, bài viết hay lắm. Mấy chiêu man-in-the-middle khá hay. Mình đã test thành công. Tuy nhiên lúc đó chỉ xem lén nội dung chat thôi. Đang ngóng dài cổ đây smilie
Xuân Phong Nguyễn
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 31/10/2011 23:07:39 (+0700) | #3 | 249357
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
FB, Gmail và Yahoo áp dụng cái này giờ khó rồi.
Đơn giản là hãy dùng HTTPS, cả 3 site trên đều cho phép bật mặc định dùng HTTPS. Mã hoá rồi thì man trên giời cũng ko middle được (dĩ nhiên cũng phải biết tí chút là khi nào SSL Cert bị giả mạo và trình duyệt từ chối nhé).
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 01/11/2011 08:41:13 (+0700) | #4 | 249373
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

myquartz wrote:
FB, Gmail và Yahoo áp dụng cái này giờ khó rồi.
Đơn giản là hãy dùng HTTPS, cả 3 site trên đều cho phép bật mặc định dùng HTTPS. Mã hoá rồi thì man trên giời cũng ko middle được (dĩ nhiên cũng phải biết tí chút là khi nào SSL Cert bị giả mạo và trình duyệt từ chối nhé). 


Ai trong dân kĩ thuật cũng biết SSL/TLS sẽ hỗ trợ việc chống lại man-in-middle attack. Thế nhưng đó là người dùng am hiểu kĩ thuật, còn người dùng bình thường chả mấy quan tâm, nhất là dân business.

Việc HTTPS không được yêu cầu mặc định trong các website cũng là một nguyên nhân khiến kiểu tấn công này vẫn dung hại. Đáng nhẽ các website phải ép người dùng dùng HTTPS để an toàn

Đã bảo là cái title được giật cho vui và để có cái mà bàn luận mà, dĩ nhiên thực tế là Gmail và Yahoo đã chơi trò ép người dùng được một thời gian rồi smilie

Mặt khác, SSL/TLS hiện đang bị kiểu tấn công do lão mrro mới công bố đe doạ nghiêm trọng. Kĩ thuật tấn công đó khó khăn khi tấn công từ xa, nhưng nếu tấn công trong một mạng local dạng mạng wireless, khi các dữ liệu dễ dàng bị nghe lén thì khả năng tấn công diễn ra dễ dàng hơn rất nhiều. Đọc thêm bài viết trên blog của lão mrro để rõ thêm

Một câu hỏi nhỏ: Các bạn thử nghĩ tại sao mà các trang web hầu hết đều không áp dụng giao thức HTTPS là yêu cầu kết nối mặc định ? smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 01/11/2011 09:46:58 (+0700) | #5 | 249385
phanledaivuong
Member

[Minus]    0    [Plus]
Joined: 23/05/2008 17:34:21
Messages: 315
Location: /dev/null
Offline
[Profile] [PM] [WWW]

xnohat wrote:

myquartz wrote:
FB, Gmail và Yahoo áp dụng cái này giờ khó rồi.
Đơn giản là hãy dùng HTTPS, cả 3 site trên đều cho phép bật mặc định dùng HTTPS. Mã hoá rồi thì man trên giời cũng ko middle được (dĩ nhiên cũng phải biết tí chút là khi nào SSL Cert bị giả mạo và trình duyệt từ chối nhé). 


Ai trong dân kĩ thuật cũng biết SSL/TLS sẽ hỗ trợ việc chống lại man-in-middle attack. Thế nhưng đó là người dùng am hiểu kĩ thuật, còn người dùng bình thường chả mấy quan tâm, nhất là dân business.

Việc HTTPS không được yêu cầu mặc định trong các website cũng là một nguyên nhân khiến kiểu tấn công này vẫn dung hại. Đáng nhẽ các website phải ép người dùng dùng HTTPS để an toàn

Đã bảo là cái title được giật cho vui và để có cái mà bàn luận mà, dĩ nhiên thực tế là Gmail và Yahoo đã chơi trò ép người dùng được một thời gian rồi smilie

Mặt khác, SSL/TLS hiện đang bị kiểu tấn công do lão mrro mới công bố đe doạ nghiêm trọng. Kĩ thuật tấn công đó khó khăn khi tấn công từ xa, nhưng nếu tấn công trong một mạng local dạng mạng wireless, khi các dữ liệu dễ dàng bị nghe lén thì khả năng tấn công diễn ra dễ dàng hơn rất nhiều. Đọc thêm bài viết trên blog của lão mrro để rõ thêm

Một câu hỏi nhỏ: Các bạn thử nghĩ tại sao mà các trang web hầu hết đều không áp dụng giao thức HTTPS là yêu cầu kết nối mặc định ? smilie
 


Có gì đâu mà hỏi nhỏ? chắc bác này định học theo style conmale, thi thoảng làm 1 tý câu hỏi nhỏ. các trang web thông thường mục đích chính là phục vụ những người thông thường. nên không cần phải bảo mật cao lắm, nên ko áp dụng HTTPS là yêu cầu kết nối mặc định, thậm chí 1 số trang còn không hỗ trợ HTTPS. những trang như yahoo mail và gmail hay paypal thì áp dụng HTTPS là yêu cầu kết nối mặc định bởi vì nhu cầu bảo mật thông tin của người sử dụng cao. nếu người sử dụng không ý thức việc bảo mật giữa HTTP và HTTPS thì nhà cung cấp (yahoo, google, paypal, ...) cũng sẽ để mặc định vì họ muốn bảo vệ khách hàng của mình, bảo vệ khách hàng chính là bảo vệ đến uy tín của công ty.
PS: Tất cả sản phẩm được làm ra đều phải phục vụ cho nhu cầu và mục đích của người sử dụng, những sản phẩm trái với điều trên thì chỉ có thể là sản phẩm 'ép' người sử dụng phải dùng sản phẩm đó
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 01/11/2011 20:01:39 (+0700) | #6 | 249403
[Avatar]
freakmind
Member

[Minus]    0    [Plus]
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
[Profile] [PM]

xnohat wrote:

myquartz wrote:
FB, Gmail và Yahoo áp dụng cái này giờ khó rồi.
Đơn giản là hãy dùng HTTPS, cả 3 site trên đều cho phép bật mặc định dùng HTTPS. Mã hoá rồi thì man trên giời cũng ko middle được (dĩ nhiên cũng phải biết tí chút là khi nào SSL Cert bị giả mạo và trình duyệt từ chối nhé). 


Ai trong dân kĩ thuật cũng biết SSL/TLS sẽ hỗ trợ việc chống lại man-in-middle attack. Thế nhưng đó là người dùng am hiểu kĩ thuật, còn người dùng bình thường chả mấy quan tâm, nhất là dân business.

Việc HTTPS không được yêu cầu mặc định trong các website cũng là một nguyên nhân khiến kiểu tấn công này vẫn dung hại. Đáng nhẽ các website phải ép người dùng dùng HTTPS để an toàn

Đã bảo là cái title được giật cho vui và để có cái mà bàn luận mà, dĩ nhiên thực tế là Gmail và Yahoo đã chơi trò ép người dùng được một thời gian rồi smilie

Mặt khác, SSL/TLS hiện đang bị kiểu tấn công do lão mrro mới công bố đe doạ nghiêm trọng. Kĩ thuật tấn công đó khó khăn khi tấn công từ xa, nhưng nếu tấn công trong một mạng local dạng mạng wireless, khi các dữ liệu dễ dàng bị nghe lén thì khả năng tấn công diễn ra dễ dàng hơn rất nhiều. Đọc thêm bài viết trên blog của lão mrro để rõ thêm

Một câu hỏi nhỏ: Các bạn thử nghĩ tại sao mà các trang web hầu hết đều không áp dụng giao thức HTTPS là yêu cầu kết nối mặc định ? smilie  


Mình nghĩ có một số lý do chính :
- Đề phòng client không hỗ trợ SSL
- Performance (cost cho server encrypt...)
- Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu smilie
- Chỉ dùng được 1 domain trên 1 ip với https
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 01/11/2011 23:01:33 (+0700) | #7 | 249410
BlackParade
Member

[Minus]    0    [Plus]
Joined: 16/05/2008 23:08:54
Messages: 3
Offline
[Profile] [PM]

freakmind wrote:

Mình nghĩ có một số lý do chính :
- Đề phòng client không hỗ trợ SSL
- Performance (cost cho server encrypt...)
- Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu smilie
- Chỉ dùng được 1 domain trên 1 ip với https
 

Cái màu vàng này hay à nha. Bạn giải thích một chút được không?
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 01/11/2011 23:09:00 (+0700) | #8 | 249411
tranminhnghia
Member

[Minus]    0    [Plus]
Joined: 23/10/2009 13:45:01
Messages: 36
Offline
[Profile] [PM]
em có 1 thắc mắc là
em đọc xong cái title thấy là Session Sidejacking. thú thật em mới nghe lần đầu smilie smilie
nhưng khi đọc xong bài viết của anh thì thực ra nó cũng là Session hijacking, từ khóa này thì khá quen thuộc rồi.
vậy tại sao anh lại gọi là Session Sidejacking mà không gọi phương thức tấn công này là Session hijacking ?
em nghĩ chắc anh gọi vậy có lý do của nó !!
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 01/11/2011 23:27:05 (+0700) | #9 | 249412
[Avatar]
freakmind
Member

[Minus]    0    [Plus]
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
[Profile] [PM]

BlackParade wrote:

freakmind wrote:

Mình nghĩ có một số lý do chính :
- Đề phòng client không hỗ trợ SSL
- Performance (cost cho server encrypt...)
- Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu smilie
- Chỉ dùng được 1 domain trên 1 ip với https
 

Cái màu vàng này hay à nha. Bạn giải thích một chút được không?  


Về mặt technique thì vẫn triển khai đc multiple domain trên 1IP với cùng một SSL cert thông qua Wildcard SSL, nhưng thông thường thì một SSL cert sẽ gắn với 1 IP và 1 Domain nên mới có đặc điểm như vậy.
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 02/11/2011 08:11:48 (+0700) | #10 | 249421
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@freakmind

Xin bạn nói rõ hơn việc 1 cert chỉ gắn với một ip và domain?

Theo tui nghĩ thì cert chỉ gắn với domain. Domain có thể có nhiều ip (load balancing).

Xin nói thêm nếu arp poison + sslstrip thì attacker có thể lấy được session cookie
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 02/11/2011 19:15:38 (+0700) | #11 | 249461
[Avatar]
freakmind
Member

[Minus]    0    [Plus]
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
[Profile] [PM]

vd_ wrote:
@freakmind

Xin bạn nói rõ hơn việc 1 cert chỉ gắn với một ip và domain?

Theo tui nghĩ thì cert chỉ gắn với domain. Domain có thể có nhiều ip (load balancing).

Xin nói thêm nếu arp poison + sslstrip thì attacker có thể lấy được session cookie 


Bạn đọc thử cái link này nhé

http://staff.washington.edu/fmf/2008/11/05/ssl-and-ip-addresses/
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 03/11/2011 13:45:07 (+0700) | #12 | 249480
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@freakmind

cert chứa domain trong CN, nên client kiểm tra là kiểm tra domain name. Còn việc hạn chế 1 ip - 1 cert là do hạn chế của Name Virtual Host đối với apache httpd http://wiki.apache.org/httpd/NameBasedSSLVHosts

Trong tài liệu bạn gửi có sơ đồ cụ thể cho việc này. Lúc thiết lập SSL thì HTTP GET request chưa được web server handle nên chưa thể xử lý Name Virtual Host (field Host trong HTTP request) -> 1 ip chỉ có thể gắn với 1 cert, tuy nhiên không có ai cấm bạn sử dụng 1 cert cho nhiều ip, tất nhiên với điều kiện là các ip đó đều resolve ra 1 domain đã ghi trong CN của cert đó.
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 03/11/2011 18:06:08 (+0700) | #13 | 249488
[Avatar]
freakmind
Member

[Minus]    0    [Plus]
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
[Profile] [PM]

vd_ wrote:
@freakmind

cert chứa domain trong CN, nên client kiểm tra là kiểm tra domain name. Còn việc hạn chế 1 ip - 1 cert là do hạn chế của Name Virtual Host đối với apache httpd http://wiki.apache.org/httpd/NameBasedSSLVHosts

Trong tài liệu bạn gửi có sơ đồ cụ thể cho việc này. Lúc thiết lập SSL thì HTTP GET request chưa được web server handle nên chưa thể xử lý Name Virtual Host (field Host trong HTTP request) -> 1 ip chỉ có thể gắn với 1 cert, tuy nhiên không có ai cấm bạn sử dụng 1 cert cho nhiều ip, tất nhiên với điều kiện là các ip đó đều resolve ra 1 domain đã ghi trong CN của cert đó.
 

Bạn nói đúng, và cái mình muốn nhấn mạnh ở đây là không dùng được nhiều domain name, tức là không gắn được nhiều domain trên 1 IP khi dùng SSL, chứ mình không nói đến việc có dùng nhiều IP hay không
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 03/11/2011 23:41:22 (+0700) | #14 | 249499
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]
@freakmind, vd_: xem thêm cái này http://en.wikipedia.org/wiki/Server_Name_Indication

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 04/11/2011 00:22:05 (+0700) | #15 | 249500
hochack_9x
Member

[Minus]    0    [Plus]
Joined: 13/05/2009 03:31:29
Messages: 8
Offline
[Profile] [PM] [MSN]
Em dùng 3 Tools trong đó có Cain&Abel thì vẫn bắt đc cookies của Facebook,Gmail,Yahoo trong Lan bình thường..vẫn dùng cookies đó truy nhập các tài khoản Facebook,Gmail,Yahoo đều ok ...
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 04/11/2011 10:30:35 (+0700) | #16 | 249509
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@mrro

- Tui sẽ bookmark cái SNI này để khi nào nó được support nhiều hơn sẽ triển khai thử
- Tiếc là hiện tại support cho SNI vẫn chưa đủ rộng để tui ứng dụng smilie (IE trên XP ... )
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 04/11/2011 11:04:50 (+0700) | #17 | 249510
Mr.Cool1987
Member

[Minus]    0    [Plus]
Joined: 25/12/2010 11:00:33
Messages: 15
Offline
[Profile] [PM] [Yahoo!]
Sniff trong Lan/Wifi thì ok. còn ra Net thì phải làm sao???
à, vả lại sniff trên browser thui chứ còn ngta dùng soft (yahoo) thì cắn lưỡi...huhu

đợi chờ là hạnh phúc............smilie
♥ Nguyễn Thành Luân ♥
[ To the world, you maybe a person. But to a person, you maybe whole the world ! ]
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 04/11/2011 14:32:21 (+0700) | #18 | 249514
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Mình nghĩ cần điều chỉnh lại 1 chút:

- Đề phòng client không hỗ trợ SSL
 

Hầu hết các web brower giờ cái nào không hỗ trợ SSL?


- Không ai để home page là https cả vì chắc chắn là người dùng sẽ gõ thiếu
 

http:// thì trang web sẽ wwwect về https để ép người dùng sử dụng https.


- Chỉ dùng được 1 domain trên 1 ip với https
 

Mình confirm là Apache phiên bản mới (mình không nhớ rõ 2.x bao nhiêu) nhưng cho phép 1 IP multiple ssl certs. Ngoài ra trình duyệt cũng phải hỗ trợ chức năng này (nhưng các trình duyệt hiện tại hầu như đã hỗ trợ).
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 04/11/2011 19:38:51 (+0700) | #19 | 249520
[Avatar]
freakmind
Member

[Minus]    0    [Plus]
Joined: 26/11/2007 02:53:23
Messages: 79
Offline
[Profile] [PM]
Đấy là liệt kê những khả năng có thể xảy ra thôi mà.

LeVuHoang wrote:
Mình nghĩ cần điều chỉnh lại 1 chút:

- Đề phòng client không hỗ trợ SSL
 

Hầu hết các web brower giờ cái nào không hỗ trợ SSL?
 

- Có lynx smilie

http:// thì trang web sẽ wwwect về https để ép người dùng sử dụng https.
 

Không phải ông web admin nào cũng nhớ để wwwect


Mình confirm là Apache phiên bản mới (mình không nhớ rõ 2.x bao nhiêu) nhưng cho phép 1 IP multiple ssl certs.
 

- Như mình cũng đã nói là việc 1IP multiple là có thể làm được nhưng không phải trên mọi web server. Theo mình biết thì từ Apache 2.2 trở lên có hỗ trợ việc này
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 04/11/2011 21:19:43 (+0700) | #20 | 249530
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Chào anh myquartz,

Đúng là HTTPS thì khó mà lấy được session, nhưng không phải toàn bộ site của Facebook đều sử dụng HTTPS. GMail và Yahoo mail thì khoai không rõ, nhưng khoản 2 năm trước khoai có test thử trên facebook thì họ vẫn send cookies sang một số external resources hoặc apps mà chỉ dùng HTTP. Vậy thôi cũng đủ sidejack cái session rồi.

BEAST của anh mrro và julianor cũng đã chứng minh là SSL vẫn có thể bị khai thác nếu có đủ thời gian và các điều kiện cụ thể.

Trả lời anh xnohat:

HTTPS không phải mặc định là tại vì thêm chữ "S". Một chữ thôi nhưng server và client phải làm việc nhiều lằm smilie

Mr.Cool1987,

Trên WAN thì tất nhiên là khó hơn, nhưng không có nghĩa là hoàn toàn không thể tấn công MitM. Có không ít các research về việc tấn công trực tiếp vào core routers và network, không khác gì việc "ARP poisoning" trong LAN.

khoai
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 08/11/2011 20:54:17 (+0700) | #21 | 249639
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

Mr.Khoai wrote:

Trả lời anh xnohat:

HTTPS không phải mặc định là tại vì thêm chữ "S". Một chữ thôi nhưng server và client phải làm việc nhiều lằm smilie

khoai 


Tình hình có vẻ đúng như nhận định của Khoai . Việc áp dụng SSL không phải là một lựa chọn tốt cho hiệu suất, tác vụ encrypt/decrypt cũng ngốn mất một lượng lớn tài nguyên của máy (máy con lẫn máy chủ) để thực hiện. Điều này phụ thuộc nhiều vào khối lượng dữ liệu cần encrypt/decrypt , các site cần hiệu suất cao như Facebook, Youtube thì họ có lẽ họ cần tránh việc phải áp dụng trọn vẹn SSL trong việc trung chuyển dữ liệu giữa server và client (Trình duyệt sẽ báo cáo là kết nối chỉ được mã hoá một phần - Partically Encrypted) . Quan sát Youtube, bạn sẽ thấy họ tránh việc mặc định áp dụng SSL vào kết nối, trong khi Gmail ( cũng của Google ) lại ép người dùng phải đi xuyên qua một kết nối SSL ( có đổi thành http:// nó cũng tự wwwect về https:// ) . Youtube không làm, không phải vì Youtube họ lười, mà nếu encrypt toàn bộ kết nối của Youtube thì công việc encrypt/decrypt lúc này sẽ là một gánh nặng khủng khiếp, hàng triệu giờ video trung chuyển liên tục trên mạng của Youtube sẽ phải encrypt/decrypt.

@vd_ : cám ơn bồ vì đã nhắc lại một kĩ thuật khá lâu nhưng còn hữu hiệu - SSL strip . Kĩ thuật này tôi có đọc document về nó từ hồi năm 2009, nhưng lúc đó tôi gặp rắc rối trong việc thử nghiệm nó, do cái card mạng của tôi (wireless lẫn ethernet) đều không hỗ trợ chế độ Promiscuous ( chế độ "hỗ độn" tôi có giải thích ở bài viết phía trên ), nên chỉ hiểu về nó trên lý thuyết. Nhưng nay thử nghiệm lại tôi đã thực nghiệm thành công trên Windows với card mạng không hỗ trợ Promiscuous mode. Tôi sẽ viết thêm phần này vào bài viết sắp tới của tôi.

@tranminhnghia: nó được gọi là sidejacking vì tấn công thông qua cách sniff đường truyền. Session Hijacking là tên gọi chung cho kiểu tấn công "đánh cắp và tái dựng phiên làm việc"
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p1) 08/11/2011 21:37:34 (+0700) | #22 | 249642
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Tấn công HTTP Session Sidejacking

Các công cụ sử dụng:

  • Trình duyệt: Firefox (bắt buộc)
  • Thực hiện ARP Poison Routing: Cain&Abel
  • Sniff dữ liệu và tái dựng TCP Stream: Wireshark
  • Cookie injection: Firefox và Add-on GreaseMonkey, Cookie Injector script (down file đính kèm)


Bạn phải tự tìm hiểu cách cài đặt các ứng dụng trên. Cách cài đặt add-on Grease Monkey và user script Cookie injector vui lòng xem phần phụ lục

Thực hiện:

Kết nối vào mạng Wifi

Bước 1: Bật Cain&Abel , vào menu configure chọn card mạng wireless của bạn (chọn cái nào hiện tại có địa chỉ IP) và cấu hình như hình dưới




Giữ nguyên các thiết lập, nhớ check vào box Don’t use Promiscuous mode. Nhờ thiết lập này mà việc thực hiện session Sidejacking có thể thực hiện được bằng hầu hết các card mạng trên thị trường. Click OK

Bước 2:




Chuyển đến tab Sniffer ( trong dãy các tab nằm phía trên ). Click bật biểu tượng Sniffer ( hình card mạng)
Nhấp phải ở vùng trắng trắng phía dưới chọn Scan MAC Address từ menu hiện ra. Chờ một chút cho Cain&Abel quét toàn bộ các máy tính hiện đang kết nối trong mạng Wifi
Bước 3:
Sau khi có danh sách các máy tính hiện đang kết nối trong mạng wifi, ta tiến tới thực hiện ARP Poison Routing.
Bạn chuyển qua tab APR ( nằm ở dãy tab phía dưới màn hình – biểu tượng màu vàng và đen )




Click vào dấu cộng “+” ( chỗ khoanh tròn trong hình ) để mở hộp cấu hình ARP Poison Routing như sau:




Việc ARP Poison Routing sẽ được thực hiện giữa máy tính bên trái“các” máy tính bên phải. Bên trái có thể là router như trường hợp địa chỉ 192.168.1.1 trong hình ( các router thường có địa chỉ là x.x.x.1 ).
Ở đây ta cần thực hiện việc sniff tất cả các gói tin ra ngoài internet (để truy cập các trang web), mà muốn ra ngoài internet thì các gói tin phải đi qua router, với logic này, ta sẽ xác định được là ta cần sniff đường truyền giữa router với tất cả các máy tính khác trong mạng. Do đó, ta sẽ chọn router ở phía bên trái, và tất cả các máy tính có trong mạng ở phía bên phải ( Shift-click hay Ctrl-click để chọn đều được ).
Xong xuôi, click OK

Bước 4:

Click chọn biểu tượng Start/Stop APR ( màu vàng và đen ) nằm ở trên bên trái của cửa sổ Cain&Abel ( chỗ khoanh tròn )




Sau khi click sẽ thấy các dòng idle trước các địa chỉ IP sẽ đổi thành Poisoning

Bước 5:

Hiện giờ ta đã thực hiện ARP Poison Routing thành công, vậy là ta có đủ điều kiện để Sniff dữ liệu trên toàn mạng wifi này rồi

Ta sẽ tiếp tục với công cụ thứ 2 là WireShark




Bạn vào menu Capture -> Option để bắt đầu cấu hình cho Wireshark




Phần cấu hình, bạn chú ý tới các mục sau

Interface: chọn card wireless của bạn
Capture packet in promiscuous mode: uncheck nó để có thể capture với bất kì card mạng wifi thông thường nào
Capture filter: thiết đặt là tcp port http , để WireShark chỉ sniff các gói thuộc giao thức HTTP, các giao thức khác ( như FTP, DNS, ICMP … ) đều ko dc capture để tránh nhìn rối mắt
Enable network name resolution: check thiết lập này sẽ khiến WireShark sẽ phân giải các địa chỉ IP thành tên miền cụ thể giúp dễ nhìn hơn, bạn có thể uncheck để thấy sự khác biệt

Check vào các cấu hình khác giống như trong hình

Cấu hình xong click Start để bắt đầu Sniff packets, bạn sẽ thấy hàng loạt packet hiện ra ào ào.

Bước 6:

Bây giờ tới lúc quay trở lại với Cain&Abel. Lúc này bạn chuyển qua tab Password ở phần tab dưới , bạn sẽ thấy màn hình như vầy:




Hãy chú ý vào cột usernamepassword, nếu bạn gặp hên, thì có người dùng nào đó vô ý đăng nhập website trong khi bạn đang sniff thì user và pass của họ sẽ được Cain&Abel bắt lấy, thế nhưng nếu xui bạn không lấy được cái password nào hết thì vui lòng quay trở lại với chuyện Session Sidejacking của ta.

Bạn chú ý tiếp tới cột URL, danh sách này sẽ liên tục được cập nhật, mỗi khi người dùng trong mạng wifi truy cập một website nào đó, Cain&Abel sẽ ghi lại chi tiết: người dùng có IP nào truy cập website nào, URL là gì, địa chỉ IP của website, username & password (nếu có).

Bạn cứ liên tục theo dõi danh sách này, đến khi nào xuất hiện địa chỉ web bạn mong muốn. Ví dụ: http://www.facebook.com/xnohat

Ngay lập tức bạn hãy chuyển trở lại Wireshark, click nút stop trên thanh công cụ.

Bạn nhanh chóng ghi nhớ lại các thông tin sau:

  • IP của HTTP Server: đây chính là IP của facebook
  • IP của client: đây chính là IP của người dùng đang truy cập facebook


Bước 7:

Bây giờ sau khi click nút stop ta sẽ thấy hằng hà sa số các packet, biết lấy cái nào ra bây giờ ?

Lúc này bạn vui lòng chú ý vào khung có nhãn “Filter:” , đây là chỗ ta sẽ nhập lệnh lọc ra các packets liên quan tới việc truy cập facebook.

Câu hỏi bật ra trong đầu bạn: “Ta sẽ lọc theo tiêu chí nào” , “Ta sẽ lọc bằng cách nào”

Đầu tiên là tiêu chí lọc. Ta sẽ lọc ra các packet có xuất xứ từ IP của Facebook. Vậy IP của facebook là bao nhiều ? Đó chính là thông tin hồi nãy tôi yêu cầu bạn ghi nhớ ở bước 6

Hãy gõ vào khung filter dòng lệnh sau:

Ip.addr eq địa_chỉ_ip_của_HTTP_Server (vd: Ip.addr eq 69.171.228.13 )  


Rồi bấm apply, bạn sẽ thấy Wireshark sẽ lọc ra các gói tin có liên quan tới địa_chỉ_ip_của_HTTP_Server ( tức là gói tin đó được gửi từ hay gửi tới địa_chỉ_ip_của_HTTP_Server )

Câu lệnh trên có nghĩa là: Tìm cho tôi các gói tin có liên quan tới địa chỉ IP abcxyz ( chữ eq viết tắt của equal – nghĩa là bằng )

Thế nhưng cách lọc ở trên vẫn chưa kĩ, vì nhiều khi có nhiều ng dùng cùng vào facebook, vậy là Wireshark đều trả về kết quả hết, vì thế nên ta cần cụ thể cả client ( tức máy nào truy cập vào )

Hãy gõ vào khung filter dòng lệnh sau:

Ip.addr eq địa_chỉ_ip_của_HTTP_Server and Ip.addr eq địa_chỉ_ip_của_Client 


Xong bấm apply, kết quả sẽ như hình dưới




Lúc này bạn chọn một packet bất kỳ bắt nguồn từ facebook.com nhấp phải sẽ có menu như trên hình, bạn chọn lệnh Follow TCP Stream. Lệnh này sẽ giúp tái dựng lại luồng dữ liệu truy cập website của người dùng

Bước 8:

Lúc này luồng dữ liệu truy cập của người dùng sẽ hiện rõ mồn một trước mắt bạn, họ gửi dữ liệu gì đi, nhận về dữ liệu gì, tất cả hiện ra ở đây




Bạn hãy chú ý tới dòng Cookie:

Đây chính là nội dung cookies định danh của người dùng, thứ chúng ta đang săn tìm, có nó, ta sẽ có thể phục dựng session làm việc trên web của người dùng, và nghiễm nhiên trở thành người dùng. Hãy bôi đen nó như trong hình, nhấp phải và chọn copy

Bước 9: Phục dựng Session – Cookie injection

Đầu tiên, bạn bật Firefox lên và truy cập firefox.

Chú ý: Bạn cần phải logout ra khỏi tài khoản facebook hiện tại. Giao diện cần được thấy như sau




Lúc này thì việc ta cần làm là chèn các giá trị cookie đã lấy được ở bước 8 vào firefox (thuật ngữ gọi là cookie injection ). Có nhiều cách để làm việc này như dùng add-on cookie manager, Cookie + , Web developer toolbar, Firecookie … . Nhưng các công cụ trên đều chỉ cho phép chỉnh từng giá trị cookie một, ví dụ như trong hình dưới đây là công cụ FireCookie




Chỉnh từng cái như thế này thì quá lâu, đến lúc chỉnh xong thì thời hạn hiệu lực của cái mớ session cookie mà chúng ta mới lấy được ở bước 8 có khi cũng đã trôi qua từ đời tám hoánh nào rồi.
Do đó ta dùng add-on Grease Monkey, add-on này của firefox cho phép chạy các script nhỏ viết bằng javascript giúp ta thực hiện một số tác vụ tự động trong firefox, trong đó có việc chỉnh sửa cookie. Cái script dùng để làm công việc này được xnohat đính kèm theo bài viết này, bạn coi phần phụ lục để biết cách cài đặt add-on và script này.

--------------------------

Giải thích nhiều rồi, giờ là cách dùng, đơn giản thôi, click vào biểu tượng tam giác ngược màu đen cạnh hình mẹt con khỉ ( grease monkey ) để hiện ra cái menu, click chọn Enable và click chọn Cookie Injector. Hãy chắc chắn rằng biểu tượng mẹt con khỉ đang bật sáng ( tức là hiện rõ chứ không phải mờ mờ ), nếu không, bạn click vào nó một cái cho nó bật sáng

Bây giờ thì bấm tổ hợp phím Alt-C ( phím Alt và phím C đồng thời ), nó sẽ hiện ra cái khung nhỏ nhỏ như trong hình dưới (Wireshark Cookie Dump). Bạn paste cái chuỗi cookies đã copy ở bước 8 vào ô textbox của cái khung nhỏ nhỏ này rồi bấm Ok




Sau khi bấm Ok, quá trình inject cookie sẽ mất vài giây, khi script chạy xong thì nó sẽ hiện ra bảng thông báo như hình sau




Bước 10: Đặt con trỏ chuột vào thanh address bar và bấm enter để trang được load lại . Chú ý: bấm F5 đôi khi không hiệu quả vì vậy hãy làm như tôi nói

Xong, kết quả là bạn đã chiếm được phiên làm việc web này của người dùng, bây giờ bạn chính là người dùng !




Phụ lục: Cài đặt Grease Monkey và cài user script Cookie injector

1.Cài Grease Monkey
Bật Firefox, vào menu tool ( ai dùng FF5 trở lên mà không thấy cái thanh menu bar thì bấm phím Alt thì nó sẽ hiện ra ), vào tiếp mục Add-on




Bây giờ bạn gõ vào khung Search all add-on ( trên cùng bên phải ) nội dung: Grease Monkey như trong hình. Click nút install ở mục Greasemonkey được tìm thấy, đợi FF cài đặt addon rồi bấm Restart now để khởi động lại Firefox

2.Cài đặt user script Cookie Injector

Bạn đến thư mục đã tải về script Cookieinjector.user.js (trong file nén) mà xnohat đính kèm theo bài viết này. Giải nén lấy file Cookieinjector.user.js .Nắm và kéo thả file Cookieinjector.user.js vào cửa sổ Firefox như trong hình




Sẽ có một cửa sổ yêu cầu cài đặt hiện ra như dưới đây




Click nút install

Xong, bạn đã cài đặt thành công script cookieinjector. Bạn vào facebook.com rồi bấm Alt-C xem có hiện lên cửa sổ Wireshark Cookie Dump như trong hình là mọi thứ đã ổn, còn không thì vui lòng làm lại từ bước đầu




xnohat – HVA

--------------------------------------

Kì sau: Tấn công HTTPS Session Sidejacking dùng SSLstrip - Thịt cả Gmail lẫn Yahoo smilie


iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 09/11/2011 01:15:41 (+0700) | #23 | 249646
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

MrKhoai wrote:

HTTPS không phải mặc định là tại vì thêm chữ "S". Một chữ thôi nhưng server và client phải làm việc nhiều lằm.
 


anh không nghĩ là server và client phải làm việc quá nhiều. nhiều site lơn trên thế giới bây giờ đã triển khai mặc định HTTPS cho nhiều dịch vụ lớn của họ. em xem thêm http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 09/11/2011 07:07:22 (+0700) | #24 | 249650
mv1098
Member

[Minus]    0    [Plus]
Joined: 18/07/2009 14:19:13
Messages: 119
Offline
[Profile] [PM]

mrro wrote:

MrKhoai wrote:

HTTPS không phải mặc định là tại vì thêm chữ "S". Một chữ thôi nhưng server và client phải làm việc nhiều lằm.
 


anh không nghĩ là server và client phải làm việc quá nhiều. nhiều site lơn trên thế giới bây giờ đã triển khai mặc định HTTPS cho nhiều dịch vụ lớn của họ. em xem thêm http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html.

-m  


Gần đây em đang bị 1 vấn đề về SSL trên website của mình

Nếu sử dụng các link internal mình có thể format thành "https" được. Nhưng nếu trong website có 1 link external format là "http" thì trình duyệt sẽ báo lỗi cert.

Ví dụ như Gmail cũng hay bị báo lỗi như thế này




Theo em nghĩ "https" sẽ được mở khi chúng ta vào những link yêu cầu nhập thông tin cá nhân trên 1 website là hợp lý nhất vì những trang đó ít khi kèm các link external ( ví dụ như : login, register... )
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 09/11/2011 12:32:43 (+0700) | #25 | 249659
[Avatar]
JFS
Member

[Minus]    0    [Plus]
Joined: 22/03/2004 22:27:38
Messages: 192
Location: ----------d
Offline
[Profile] [PM]
@xnohat :

Cho mình hỏi nếu bind IP cho MAC (hoặc static IP MAC tại client ) liệu cách tấn công này còn hữu hiệu không vậy xnohat ?

Cain&Abel liện có poinsoning được router hay gateway không ?

Thanks !
sugarCRM
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 09/11/2011 12:42:09 (+0700) | #26 | 249660
vd_
Member

[Minus]    0    [Plus]
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
[Profile] [PM]
@mrro

Xin ý kiến của mrro về nhận định ở trong blog post này http://vincent.bernat.im/en/blog/2011-ssl-dos-mitigation.html

Theo đó thì với tỷ lệ CPU giữa client : server thì việc client có thể làm tốn CPU của server khá nhiều. Như vậy thì chừng vài chục máy trạm là có thể làm quá tài server? DOS ở đây sẽ là DOS về CPU chứ không còn là network nữa.
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 09/11/2011 12:46:42 (+0700) | #27 | 249661
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

JFS wrote:
@xnohat :

Cho mình hỏi nếu bind IP cho MAC (hoặc static IP MAC tại client ) liệu cách tấn công này còn hữu hiệu không vậy xnohat ?

Cain&Abel liện có poinsoning được router hay gateway không ?

Thanks ! 

Trên mạng wifi thì traffic giữa client và server đều có thể bị capture quan trọng là trạng thái của Card Wifi (bạn xem lại Promiscuous mode). Đối với mạng LAN thì khó hơn vì nếu set port security trên Switch thì không có tình trạng gói tin broadcast được (nhưng các switch có tính năng này cũng tương đối mắc tiền smilie).

Để hiểu rõ hơn bạn có thể đọc thêm về ARP Poison
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 09/11/2011 13:04:32 (+0700) | #28 | 249662
[Avatar]
JFS
Member

[Minus]    0    [Plus]
Joined: 22/03/2004 22:27:38
Messages: 192
Location: ----------d
Offline
[Profile] [PM]

Trên mạng wifi thì traffic giữa client và server đều có thể bị capture quan trọng là trạng thái của Card Wifi (bạn xem lại Promiscuous mode). Đối với mạng LAN thì khó hơn vì nếu set port security trên Switch thì không có tình trạng gói tin broadcast được (nhưng các switch có tính năng này cũng tương đối mắc tiền smilie).

Để hiểu rõ hơn bạn có thể đọc thêm về ARP Poison  


@Ky0

Có lẽ ở đây mình không chú ý đến cái wifi và trạng thái card mạng mà mình gắn nó vào LAN.

Nếu dùng Static arp and gán MAC router cho client , trong LAN có 1 host bật trạng thái card mạng Promiscuous mode thì có bị poison ko ?



sugarCRM
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 09/11/2011 14:46:41 (+0700) | #29 | 249668
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

JFS wrote:

Có lẽ ở đây mình không chú ý đến cái wifi và trạng thái card mạng mà mình gắn nó vào LAN.

Nếu dùng Static arp and gán MAC router cho client , trong LAN có 1 host bật trạng thái card mạng Promiscuous mode thì có bị poison ko ?

 


Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao?
=> Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff smilie

Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được.

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Article]   Hack account Facebook, Gmail, Yahoo bằng HTTP Session Sidejacking (p2) 09/11/2011 15:19:05 (+0700) | #30 | 249669
[Avatar]
JFS
Member

[Minus]    0    [Plus]
Joined: 22/03/2004 22:27:38
Messages: 192
Location: ----------d
Offline
[Profile] [PM]


1. Bạn gắn static arp cho router hay client? Router của bạn của hãng nào, thuộc dòng nào? bạn cấu hình nó ra sao?
=> Nếu dùng static ARP cho cả client và router thì không thể poison ARP nữa, nhưng gói tin vẫn có nguy cơ bị sniff smilie

2. Để phòng tránh thì tốt nhất là dùng tính năng port security trên Switch (và chỉ có một máy tính nối trực tiếp đến port được bật tính năng port security) đồng thời dùng arp tĩnh cho client và switch thì không có host nào có thể sniff cũng như poison được.

- Ky0 -  

1. Tất nhiên mình làm cho cả router và client , router mình có Port Security . Mình cấu hình nó theo yêu cầu của mình .
2. Mình cũng nghĩ phương pháp ngăn chặn trên là hữu hiệu nhất , nếu gói tin vẫn bị sniff nhưng giao thức là SSL thì mình nghĩ tấn công trong LAN khi đã có các cơ chế bảo mật như thế thì ok và để lấy đc Session là rất khó như đã nói ở trên .

Nếu client change MAC và dùng 1 Static IP khác trong lớp thì sao nhỉ vẫn không có khả năng poision .

Thanks Ky0

sugarCRM
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|