نوشته‌شده در

اجتناب از حمله نیروهای شدید به سرور مجوز oAuth

من در حال حاضر به چارچوب مجوز OAuth 2 نگاه می کنم. دیروز شروع به تعجب کردم که چگونه برای جلوگیری از حمله نیروهای بیرحمانه در جریان اعتبار مجوز کد (https://tools.ietf.org/html/rfc6749#section-4.1). برای روشن شدن، جریان به صورت زیر عمل می کند:

  1. مرورگر درخواست هایی را برای یک منبع محافظت شده در یک مشتری oAuth 2 ( client.example.com ) می فرستد.

  2. مرورگر به نقطه پایانی مجوز هدایت می شود سرور مجوز:

    GET / authorize؟ response_type = کد & client_id = s6BhdRkqt3 & state = xyz
        & redirect_uri = https٪ 3A٪ 2F٪ 2Fclient٪ 2Eexample٪ 2Ecom٪ 2Fcb

با حالت خاصی از رشته تصادفی تولید شده توسط مشتری oAuth 2

  1. ورود به سیستم مرورگر در سرور مجوز

  2. هنگامی که به درستی وارد سیستم شوید، مرورگر با پارامترهای پرس و جو redirect-uri با برخی از پارامترهای پرس و جو

    https://client.example.com/cb؟code=SplxlOBeZQQYbYS6WxSbIA&state=xyz

مسیر رونویسی باید همانند فرستنده توسط مشتری و توتون یک رشته تولید شده توسط سرور مجاز است.

  1. مشتری تایید می کند که آیا پارامتر حالت متعلق به جلسه عامل کاربر (برای جلوگیری از XSRF) و درخواست توالی دسترسی از سرور مجوز با استفاده از کد پارامتر پرس و پایه احراز هویت با اعتبار مشتری:

    POST / token HTTP / 1.1
    میزبان: server.example.com
    مجوز: Basic czZCaGRSa3F0MzpnWDFmQmF0M2JW
    Content-Type : application / x-www-form-urlencoded [19659012] grant_type = authorization_code & code = SplxlOBeZQQYbYS6WxSbIA و redirect_uri = https٪ 3A٪ 2F٪ 2Fclient٪ 2Eexample٪ 2Ecom٪ 2Fcb

ممکن است یک مهاجم یک بار دیگر تکرار مراحل 2 و 4 را انجام دهد، بدون اینکه وارد سرور مجاز شوید :

  1. برو به یک منبع محدود در client.example.com .
  2. تجزیه پارامتر درخواست در مسیر هدایت (و ذخیره کوکی / شناسه جلسه) [19659018] با رفتن به https://client.example.com/cb؟code=value1&state=xyz (با کوکی / شناسه جلسه دریافت شده در 1) سعی کنید یک نشانه برای value1 دریافت کنید.

دوباره این کار را انجام دهید و دوباره برای کد = ارزش 2 ، کد = ارزش 3 ، …

هیچ چیز در بین دو تلاش مهاجم مشابه نیست، که باعث می شود سرور مجاز برای ذخیره سازی تعدادی تلاش و بلوک پس از یک شماره خاص.

با این حال، احتمالا یک پنجره کوچک برای مهاجم برای انجام atta ck، از آنجا که کد فقط در سرور بین مراحل 4 و 5 در جریان معتبر است (به جز اگر مشتری در جایی بین 4 و 5 سقوط می کند.)

دیگر

  • دارای یک کد بزرگ تولید شده توسط سرور مجوز [19659018] کدهای موجود فقط برای یک مدت زمان محدود

کدام چیز دیگری است که ما می توانیم برای جلوگیری از حمله توصیف شده انجام دهیم؟

نوشته‌شده در

DEAD – یک بردار حمله در خدمات وب، به علت خطاهای ایمیل به علت DNS

ایمیل های دامنه مرده است

یادآوری امنیتی که ایمیل و DNS هرگز نباید یک جزء حیاتی از یک معماری سیستم امن باشد.

PROBLEM

DEAD یک آسیب پذیری بالقوه در سیستم DNS است که وجود دارد به روش ضعیف که در آن تماما اجرا شد. DNS، که عمدتا توسط ICANN کنترل می شود، مستعد ابتلا به شخص ثالث و انقضای ساده است.

ایمیل مدرن با استفاده از DNS به طور گسترده ای مورد استفاده قرار می گیرد. کاربران ایمیل پست الکترونیک را با فرم [email protected] ایجاد می کنند.

وب سایت ها، در سراسر جهان، برای شناسایی هویت افراد از ایمیل استفاده می کنند (بسیاری از شما اجازه می دهند رمز عبور خود را تنها با یک پست الکترونیکی مجددا تنظیم کنید) .

از آنجا که DNS مستعد ابتلا به شخص ثالث و انقضا ساده است، مشخص است که بسیاری از حوزه های آدرس ایمیل منقضی خواهند شد (به عنوان مثال مرگ یک فرد و انقضای کارت اعتباری آن شخص)، نگه داشتن حساب های مردم در وب سایت ها [درسال19659009] این سرقت ممکن است قانونی در بسیاری از حوزه های قضایی باشد؛ به عنوان کنترل یک آدرس ایمیل، اغلب بار، همچنین نشان دهنده کنترل حساب است. [19659011] STOP GAPS

شکاف توقف پیشنهاد شده در زیر، به راحتی ایجاد حساب کاربری برای افرادی است که از شناسه های مختلف از ایمیل استفاده می کنند. با این حال، این ممکن است کمک کند.

  1. محتوا امنیت
    1. PGP طرف مشتری
        1. ایمیل های رمزگذاری شده با PGP توسط یک گیرنده ناخواسته قابل خواندن نیست، حتی در صورتی که دامنه / پست الکترونیکی ربوده شود مگر آنکه گیرنده در نظر گرفته شده در حال حاضر به طور کامل متعلق به (کلید خصوصی خود را به سرقت رفته) توسط گیرنده ناخواسته.
  2. تشخیص دستکاری
      1. DNSSEC پیاده سازی سرور
        1. نگه داشتن کش از گواهی های ارائه شده توسط ریشه و چک برای تغییر.
          1. نیاز به DNSSEC در تمام دامنه های پست الکترونیکی دریافت کننده که در سال 2018 دور از واقعیت است اجرا می شود.
      2. نظارت بر مالکیت دامنه سرور:
        1. کامپایل لیستی از تمام دامنه ها در یک مجموعه داده های طولانی از همه کاربران 'ایمیل ها.
        2. بررسی کنید که آیا هر یک از دامنه ها ممکن است مالکیت را تغییر داده باشد.
          1. بررسی کنید که آیا یک دامنه منقضی شده است یا خیر.
          2. بررسی کنید که آیا یک دامنه به تازگی پس از ایجاد حساب کاربر خریداری شده است یا خیر.
          3. علاوه بر این، بررسی کنید که آیا پرونده های MX، از جمله آدرسهای IP تغییر کرده است.
          4. اثر انگشت "MX را به عنوان حتی یک IP را می توان ربودن BGP.
        3. در صورتی که مالکیت تغییر کند
          1. مسدود کردن گذرواژه برای حسابهایی که ممکن است مالکیت را تغییر داده اند بازنشانی شود.
            1. اعلان کاربر که تنظیم مجدد به دلیل دلایل بالا مسدود شده است و با فروشنده دامنه تماس برقرار کنید و روش تأیید دیگری را امتحان کنید
          2. فرستادن پیام به ایمیل ثانویه کاربر اگر وجود داشته باشد.

FIX

اجازه ندهید زیرساخت انتقادی شما به ایمیل و نسخه غیر قابل تایید DNS اجازه ندهد.

در اینترنت دسترسی خصوصی

در حالی که دسترسی خصوصی به اینترنت از یک آدرس ایمیل ثبت شده (برای اهداف بازیابی حساب استفاده می کند)، اتصال VPN خود باقی می ماند حتی در صورتی که یک شخص غیر مجاز به حساب شما دسترسی پیدا کند – هر ارتباط منحصر به فرد و به طور مستقل توسط طراحی امن است. (متن پیوند به ویکی و غیره DH)

ما اجازه نمی دهیم زیرساخت های انتقادی ما به ایمیل و نسخه غیر قابل تایید DNS متکی باشد. شما با ما ایمن هستید

ALTERNATIVES PROTOCOL MAIL

خدمات پیام رسانی فوری موبایل (MIMS)

در حالی که ممکن است به نظر می رسد که MIMS گرم است، این خدمات عمدتا به شماره تلفن های احراز هویت. این شبکه SS7 به عنوان MITM / Hackable / Reroutable ثابت شده است .

BitMessage

این نامحدود و حریم خصوصی را فراهم می کند. این بستن رمزنگاری کلید عمومی بستگی دارد به این دلیل که یک شبکه پیام رسان پیام رسانی را اساسا همان پیام را برای هر کاربر در شبکه فراهم می کند.

ZIM

یادداشت های محافظ Z در شبکه Zcash نامحدود و حریم خصوصی قوی هستند.

درباره اندرو

اندرو یک مدافع قدیمی برای حفظ حریم خصوصی و حفاظت از قلمرو شخصی است. VPN سرویس "title =" سرویس VPN "/> به عنوان مدیر نام تجاری برای محصولات به بهترین وجه شناخته شده بین المللی شناخته شده قبل از تاسیس دسترسی خصوصی خصوصی خدمت کرده است.
   

نوشته‌شده در

پیشگیری از حمله – چالش مهندسی سطح نظامی

من سعی می کنم یک فرستنده رادیوی ویژه نظامی ایجاد کنم.
اساسا، جریان:

  1. یک solider یک پیام برای ارسال (حدود 10 بار در روز) دریافت می کند. هر پیام 1024 بیت دقیق است.

  2. او این پیام را به رادیو وارد می کند و معتبر خواهد شد درست وارد شده است.

  3. رادیو این پیام را به صورت تکراری ارسال می کند.

این بسیار مهم است که فرستنده هک کردن، زیرا بسیار مهم است در زمان اضطراری.

بنابراین، کمک من از شما می خواهم، چگونه برای پیشبرد مرحله 2 بدون خطر ابتلا به آلوده.
اگر داده ها را با استفاده از DOK انتقال دهم، ممکن است هک شده باشد.
اگر کاربر را در 1024 بیت ایجاد کنم، آن را امن خواهد بود اما خسته کننده خواهد بود.

هر ایده ای؟ (بودجه نامحدود)

(مهم است که بگوییم داده های منتقل شده راز نیست)

با تشکر از هر گونه کمک شما می توانید عرضه!
دنی

نوشته‌شده در

اسکنر آسیب پذیری – حمله تحلیلگر سطح گزارش اقدامات احتمالی

من با استفاده از Analyzer Surface Analyzer از مایکروسافت استفاده می کنم و می خواهم درک بهتری از بهترین راه برای مقابله با یافته ها پیدا کنم.

به عنوان مثال اگر در گزارش من راهنماها حاوی اشیاء با ACL های ضعیف ، توضیحات:
پوشه C: Program Files (x86) My_Folder حاوی فایل ها و / یا پوشه هایی با ACL هایی است که اجازه می دهد تا چندین حساب کاربری غیرمجاز دستکاری شود.
"اقدام:" بخشی از گزارش به شرح زیر است:
ACL باید محکم تر شود. اجازه ندهید که کاربران برای نوشتن نقاط، فایل یا دایرکتوری که بر کنترل سایر کاربران تاثیر می گذارند، نوشتن کنند.

در این مورد یک راه حل مناسب برای استفاده از یک ابزار مانند ICACLS برای تغییر ACL (ها) دسترسی به پوشه دسترسی به Administrator تنها با استفاده از یک اسکریپت PowerShell امکان پذیر است؟

مثال دیگری که من دارم خدمات آسیب پذیر برای خرابکاری ، توضیحات:
سرویس My_Service آسیب پذیر است که با سوءاستفاده از چندین حساب کاربری غیر حساب شده آسیب پذیر است.

"اقدام:" بخشی از این گزارش به سادگی می گوید ACL های مربوطه باید محکم تر شود.

در این مورد ما در مورد خدمات (ها) صحبت می کنیم، و من یک سرنخی ندارم که در آن با آن یکی باشد …

برای وقت و هر گونه کمک به شما سپاسگزارم!