Javascript & Browser Cache Attack

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Javascript & Browser Cache Attack
Như chúng ta đã biết, tấn công MITM là loại tấn công khá phổ biến trong mạng LAN với rất nhiều hình thức khác nhau. Trong khuôn khổ của bài viết này mình sẽ giới thiệu với các bạn tấn công dạng Man-In-the-Tab và Javascript-In-The-Middle. Tấn công này sẽ giúp hacker kiểm sót nội dung của một tab (trong trình duyệt web) nào đó mà kẻ tấn công đã chiếm được quyền kiểm soát và đặt các code độc hại trên đó, nó khá giống với tấn công XSS.

Tấn công Javascript và Browser Cache Poisoning sử dụng một proxy server và các script độc hại, nó có thể thay đổi các file javascript của một website và cache của trình duyệt. Browser Cache Poisoning được thực hiện bằng cách thay đổi câu trả lời từ server và thêm một HTTP Header.

Phân tích tấn công Javascript và Browser Cache Poisoning

Để lây nhiễm nạn nhân vớ javascript độc hại, kẻ tấn công không thêm một kì một file mới (để tránh việc bị phát hiện) mà họ sẽ thay đổi các file javascript tồn tại trong mã nguồn web, mà nó đi qua proxy server độc hại đã tạo, bằng việc làm độc chúng với các code độc hại.

7304zp.jpg


Một đoạn mã hoặc tất cả các đoạn mã javascript có chứa trong nội dung của webpage sẽ được làm độc khi đi qua một proxy server độc hại, để thực hiện các payload.

Ví dụ về Proxy server độc hại và quá trình lây nhiễm.

Quá trình viết lại các file Javascript:
  1. Tải về các đoạn javascript có trong webpage
  2. Lưu chúng trên máy tính
  3. Thêm các đoạn code lây nhiễm ở vị trí cuối cùng của mỗi file javascript
  4. Thay đổi thời gian kết thúc (expiration date) của mỗi file để kích hoạt Browser Cache Poisoning
  5. Chuyển giao các đoạn javascript đã được thay đổi tới nạn nhân.

Ví dụ SQUID Proxy:


  1. Enable tùy chọn URL_Rewrite_Program của SQUID Proxy

    fw6qub.jpg
  2. File poison.pl thực hiện nhiệm vụ thay đổi các file javascript đã nói ở trên (không bao gồm bước 4)

    scdr2f.jpg
  3. Để thực hiện Browser Cache Poisoning, chúng ta phải cài đặt module mod_expire vào proxy server độc hại và thực hiện một vài thay đổi nhỏ trong file .htaccess của vị trí nơi mà payload sẽ được cung cấp.

    2yy8hhl.jpg
Quá trình lây nhiễm

Các đoạn javascript sẽ thực hiện các payload từ server được kiểm soát bởi hacker.


2dumrtl.jpg


Sẽ là rất nguy hiểm nếu hacker chèn vào các đoạn javascript để thu thập danh tính, cookie, HTML content thông qua công nghệ "form grabbing"

30w2elh.jpg



Để tìm hiều kỹ hơn các bạn có thể tham khảo tại:

http://blog.elevenpaths.com/2014/07/nueva-herramienta-proxyme-y-ataques-de.html
http://blog.elevenpaths.com/2014/08/nueva-herramienta-proxyme-y-ataques-de.html
https://code.google.com/p/proxyme/
http://media.blackhat.com/bh-us-12/Briefings/Alonso/BH_US_12_Alonso_Owning_Bad_Guys_Slides.pdf
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên