Subscribe feed

Яндэкс.Напад «Чалавек пасярэдзіне»: просты перахоп лагінаў і пароляў

27 лістапада 2008

Сістэма аўтарызацыі Яндэкса схільная MITM (Man-In-The-Middle)-нападу: можна прымусіць Яндэкс перадаваць лагіны і паролі ў адчыненым выглядзе, што вабіць за сабой пагрозу іх перахопу. Для тых, хто не ў курсе, што такое MITM (вынятка з Вікіпедыі):
    Напад «чалавек пасярэдзіне» (ангел. Man in the middle, MitM-напад) — тэрмін у крыптаграфіі, які пазначае сітуацыю, калі атакавалы здольны чытаць і відазмяняць па сваёй волі паведамлення, якімі абменьваюцца карэспандэнты, прычым ні адзін з апошніх не можа здагадацца аб яго прысутнасці ў канале.

У дачыненні да сетак, магчымасць перахапляць і ў асобных выпадках змяняць перадаваны трафік. Гэта пагражае расчыненнем лагінаў і пароляў да сайтаў. Для абароны ад гэтага ўжываецца SSL.

MITM на Яндэксе

Пры ўваходзе на Яндэкс лагін і пароль сапраўды перадаюцца па SSL-пратаколу. Але зірнем на частку зыходнага кода старонкі аўтарызацыі з апісанне формы:

   
   

Першапачаткова ў форме паказана, што дадзеныя павінны перадавацца па нешифровнному каналу:

    action="http://passport.yandex.ru/passport?mode=auth"

Перадаваць дадзеныя па SSL прымушае скрыпт forcehttps.js, які ў усіх формаў змяняе ва ўласцівасці action «http» на «https»:

    // Force HTTPS javascript
    //
    // $Id: forcehttps.js,v 1.3 2006-12-12 14:05:01 shurukhin Exp $

    (function(){
    var frm = document.forms.MainLogin;
    if(frm) {
     frm.action=frm.action.replace(/^http:/i, 'https:')
     frm.action=frm.action.replace(/^//,'https://'+document.domain+'/')
    }
    })();

Калі жа гэты скрыпт не выканаецца, то лагін і пароль будуць перасылацца ў адчыненым выглядзе.

Выснова

Калі ў атакавалага ёсць магчымасць падмяніць або заблакаваць запампоўку forcehttps.js, то лагін і пароль перададуцца на сервер у адчыненую. Напрыклад, адмін у офісе проста заблакаваў запампоўку forcehttps.js на проксі-серверы (офіс ходзіць у інэт праз яго), то ён лёгка можа перахапіць лагін і пароль ад акаўнта на яндэксе, прыналежныя супрацоўнікам офіса.


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100