漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-091807
漏洞标题:傲游云浏览器可被中间人攻击二
相关厂商:傲游
漏洞作者: MITM
提交时间:2015-01-19 11:16
修复时间:2015-04-20 14:22
公开时间:2015-04-20 14:22
漏洞类型:设计错误/逻辑缺陷
危害等级:高
自评Rank:15
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-01-19: 细节已通知厂商并且等待厂商处理中
2015-01-19: 厂商已经确认,细节仅向厂商公开
2015-01-22: 细节向第三方安全合作伙伴开放
2015-03-15: 细节向核心白帽子及相关领域专家公开
2015-03-25: 细节向普通白帽子公开
2015-04-04: 细节向实习白帽子公开
2015-04-20: 细节向公众公开
简要描述:
昨天提报完《傲游云浏览器可被中间人攻击》之后,发现另一个不同思路,仍可攻击傲游浏览器。
详细说明:
《傲游云浏览器可被中间人攻击》是绕过TLS证书校验来攻击HTTPS网站cookie。这个报告不攻击HTTPS,而是讨论如何持久地中间人攻击。首先感谢心伤的胖子的报告《傲游云浏览器漏洞造成可以远程控制浏览器》(WooYun-2013-33365)提供了本文的思路。
WooYun-2013-33365提到maxthon.cn域有权限操作maxthon对象,并可以通过maxthon对象来修改浏览器设置。经测试,直到2015年的今天,依然是这样:
而对于中间人来讲,只要不用HTTPS,就能任意篡改页面内容。我们都无需找maxthon.cn下的XSS漏洞。傲游的默认首页是http://i.maxthon.cn/。中间人可以在这页上插入脚本,调用maxthon对象。
那么我们可以利用maxthon对象做什么事情呢?经测试,
1)修改主页仍可行:maxthon.browser.config.ConfigManager.set("maxthon.config","browser.general.startpage","http://www.baidu.com/");
2)修改代理服务器设置也可行:maxthon.browser.config.ConfigManager.set("maxthon.config", "browser.general.proxy_config_type", "[]");
修改代理服务器设置就可以达到我说的“持续攻击HTTP”的目的,因为我可以将代理的地址指向我控制的服务器,这样用户的所有流量都会主动发到我的服务器。虽然我破不了HTTPS,但鉴于目前国内使用HTTPS非常不普及,能监听HTTP也可以了。我修改完代理服务器之后,它就相当于新的中间人。我可以通过配置代理服务器的规则达到篡改任意HTTP网页、任意你的修改浏览器设置、更新代理服务器地址,以及想撤出时,删除代理服务器设置。而且除了你上网速度可能会受影响之外(受多大影响取决于我的服务器的位置,我要是有缓存,你可能还觉得快了),没有其他异常,整个过程无用户交互。
漏洞证明:
我在Fiddler上模拟了一下。过程是:
1、跳转任意HTTP页(http://www.example.com)到http://i.maxthon.cn/#http://www.example.com
2、对http://i.maxthon.cn/请求,直接返回如下代码:
3、完成
修复方案:
1、禁止HTTP域的任何页面调maxthon.browser.config
2、HTTP协议下的特权域应该强制HTTPS
版权声明:转载请注明来源 MITM@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:5
确认时间:2015-01-19 14:46
厂商回复:
需要先劫持 才能进行攻击. 危害相对小点
最新状态:
暂无