@cnFooying :最近移动安全三两事

观点 作者:Fooying 2014-09-03 03:04:08 阅读:386
中秋马上到了,先预祝大家中秋快乐。 估计这两天大家都在求视频和照片的下载地址,源于好莱坞艳照门事件。   今天一则近百名好莱坞女星 iCloud 账户遭黑客攻击导致裸照泄露的新闻将 iCloud 的安全推倒风口浪尖,其中泄露的女明星包括 Jennifer Lawrence(詹妮弗·劳伦斯)、Kirsten Dunst(克里斯丁·邓斯特)、Jennifer Lopez(珍妮弗·洛佩兹)、歌手Rihanna(蕾哈娜)、Scarlett Johansson(斯嘉丽·约翰逊)等等。   相信很多同学已经看过这些照片和视频了,我就不多加介绍了,然后大家也别求种子啥的,这个肯定是木有的(/抠鼻)。   又是一件与个人隐私安全密切相关的事件,事件我就变多介绍了,来谈谈事件背后的漏洞,缘于苹果官方对于iCloud帐户的暴力破解的限制存在疏漏导致可以帐户可以被暴力破解,而流传出来的照片就是来自于此。   估计经过媒体的宣传和网络热炒,苹果官方反正是要背全黑锅了,管你用户密码太简单容易破解还是其他的,反正就是你没做好安全措施。哈哈,不多做评价,这种东西本来就很难防范,比如我设置个字母+数字+特殊字符+大小写,然后足够的长度,你给我破解试试,当然这么说不是排除苹果的原因,只是希望任何一件安全事件都不要被夸大,当然这个事件因为牵扯到明星,又是苹果公司,所以影响就大了,这个事件不做评价,大家各看各的,各有各观点。   附上破解脚本一份,hackappcom/ibrute · GitHub,搞开发的同学应该一看就看得懂代码,代码很简单,可以了解下漏洞,不要用来做坏事(今天测试了下,是可以成功的)。   第二件事就是安卓浏览器同源策略绕过。   可能根据上面那句话,大家不知道是什么情况,简单的说这是一个UXSS漏洞。这个事说来还挺碰巧的,因为有同学问我UXSS,于是就想着写篇UXSS的介绍文章,然后在找相关资料和案例的时候(这点表示国内基本没资料。。。)正好就找到了这个漏洞的介绍文章。   原文链接:http://www.rafayhackingarticles.net/2014/08/android-browser-same-origin-policy.html   同源策略的话,大概介绍下,看过COS的《web前端黑客技术解密》的同学应该在书的第一章就可以看到介绍,cos在书里比喻成楚河汉界,大家可以去看看。我简单的解释下,因为有这个同源策略的存在,那么网站http://a.com就只能读取自己的东西,比如会话信息,而不能去读取http://b.com的会话信息,当然,对http://b.com、http://c.com都是同理的。   然后再来介绍下UXSS,对于常见XSS可能大家稍微有点了解,就是网站存在漏洞,可以被跨站,可能大家最熟悉的就是弹个框啥的,是否只能弹个窗啥的我就不多做解释,知乎上正好有人提问http://www.zhihu.com/question/24918141。   而UXSS与普通XSS有什么区别?简单的说,普通XSS需要网站本身存在漏洞,而UXSS叫做通用跨站脚本攻击,利用的是浏览器本身或者浏览器扩展程序的漏洞,不需要网站本身存在漏洞也可以触发漏洞,而怎么利用漏洞等就与普通XSS没什么区别了。   看一张图,今天测试的图   1   这个是我今天测试这个漏洞的截图。这个截图大家可以看到百度弹了cookie,但是这并不是我挖到了百度首页的XSS漏洞,而是利用刚才介绍的浏览器的漏洞来实现的。讲到这里大家应该明白UXSS是什么了,更多的可以看我昨天的博文通用跨站脚本攻击(UXSS)   大家可以用我构造的页面测试下http://0xsafe.org/x.html,通过指定版本的安卓浏览器进行访问或者QQ、微信等直接访问也是可以的。   根据介绍这个漏洞是因为URL解析器对空字符的不正确处理导致的(下文poc中的\u0000)。   poc:   <iframe name="x" src="百度一下,你就知道" onload="window.open('\u0000javascript:alert(document.cookie)','x')" >   其他的就不多做介绍了,讲下使用对应版本安卓系统的同学如何防范该问题,最简单的一点: 不管是QQ、微信或者其他渠道发送的可疑链接都不要去点击(QQ和微信点击链接进行页面访问实际上通俗的讲就是内嵌浏览器,所以性质是一样的) 坐等更新就好。   然后针对iCloud的问题,官方说修复了,如果你实在不放心,不管官方有没有修复,最简单的方式: 将密码设置的足够强壮!   题图来自互联网。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

选择AiDeep,让人工智能为你工作:http://www.aideep.com/
四季很好,只要有你,文娱排行榜:http://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接