原标题:【2018资安趋势 4】网页快取欺诈出没!快取权限控管要更严
【网页快取欺诈】资安专家Omer△Gil△发现一个网页快取欺诈,骇客可利用登入特定目录的下一层不存在的网页页面,因为该网页不存在,所以网站会自动回传该网页目录上一层的内容,让骇客有机会窃取到使用者的机敏资料。图片来源/Omer△Gi△
许多网站服务为了加快对静态网页页面的存取速度,都会通过网页快取(Web△Cache)的方式,减少使用者等待网页的时间。不过,任职安永(EY)会计师事务所资安团队负责人Omer△Gil日前则在黑帽骇客大会,公开一个他发现的PayPal网页快取欺诈(Web△Cache△Deception)手法,骇客就可以从快取网页资料中,获得使用者的机敏资料。
当揭露这个漏洞时,连带使得云端服务业者Cloudflare,为了解决客户对这个漏洞的隐忧,甚至还推出“Edge△Cache△Expire△TTL”这项新功能,可将快取页面储存时间设定为0秒,避免外泄使用者敏感个资。
从PayPal找到网页快取欺诈漏洞,骇客可窃取敏感个资
Omer△Gil表示,快取网页通常是静态页面,常见的格式包括CSS、js、txt,还有常见的图片档(png、bmp、gif)等档案格式,通常这些档案都不会存放与个人有关的敏感资讯,也会以静态快取网页页面方式公开,并忽略HTTP的网页快取标头(headers)。
现在常见的网页快取,其实是通过浏览器的方式,将网页内容暂时存放一段时间,让浏览器不需要再度请求暂存网页快取页面,“但这些跟网页快取欺诈手法无关。”他说。
但其他导入网页快取的手法,则会和网页快取欺诈手法有点关系,都有关用户端、网站伺服器端以及相关快取机制有关系。目前,几个常见的网页快取机制包括CDN(Content△Delivery△Network)服务、负载平衡(Load△balancer)以及反向代理(Reverse△Proxy)伺服器等服务。
Omer△Gil解释网页快取欺诈的方法论,第一步就是要设法让使用者登入一个假的登入页面,例如,要登入一个金融网站的帐户,受骇者也不疑有他、随之登入该页面,网页伺服器跟代理伺服器请求一个登入的请求,但原先并没有这个登入请求,所以代理伺服器转而向网页伺服器请求相关的登入页面资讯。
Omer△Gil表示,PayPal帐号本身就存在一个网页快取欺诈的漏洞,而该漏洞目前已经被修补完毕且公开,而通过网页快取欺诈的漏洞,PayPal还可能外泄使用者的敏感资讯,包括使用者姓名、帐户余额、信用卡最后四码、交易资料、完整的护照号码、电子邮件、住家地址、电话号码以及其他在该漏洞网页上的敏感资讯。
若以网页快取欺诈手法为例,Omer△Gil观察到PayPal有漏洞的网页,当使用者第一次登入该网页,例如查询使用者帐户资料时,该网站会将静态页面的资料保存大概五小时之久,若中间有再度登入该页面,又可以延长该页面被网站快取存放的时间。他表示,当快取页面存放的时间延长时,就有利骇客找到更多该页面存放的敏感资料。
像是,当Omer△Gil登入PayPal的使用者页面时(www.paypal.com/myaccount/home),若骇客输入一个原本不存在的网页,例如:www.paypal.com/myaccount/home/malicious.css的页面时,因为无法回传该不存在页面的资料,所以PayPal就会回传该网站上一层的资料给使用者。也就是说,骇客就可以任意利用任一个网站中,输入原先不存在的网页网址后,该网站因为无法回传该不存在的网页资料,就只好回传上一层存在网页的资料给查询者,就可能让骇客窃取到使用者敏感个资。
所有不存在的网页快取页面,都不应该主动回应任何资讯
因为这样网页快取欺诈的弱点,也迫使云端服务业者Cloudflare必须推出一个新服务,提供客户一个“Edge△cache△expire△TTL”的服务,所有的快取储存时间为0秒。目前PayPal已经修补这个漏洞,但是其他网站仍有可能存在类似的漏洞,使得骇客有机会取得使用者的敏感个资。
Omer△Gil就建议,网页设定快取机制时,要符合网页快取的标头所允许的页面,不存在的页面不应该主动回应上一层的页面资讯。再则,所有快取存放的静态档案,都要在原本规定的目录中,且只允许在原本的目录页面呈现快取的静态档案资料;假设快取页面允许使用者作选择时,相关的快取页面设定都应该符合原先的内容型态;最后,所有不存在的网页页面,就可以直接回应404或者是302的网页数值,不需要自动回传上一层的资讯给使用者。
相关:
昨日沪深两市共成交4911.2亿元,量能相比周二略有放大,但资金净流出趋势仍然清晰。据数据显示,昨日两市大盘资金净流出90.43亿元。这主要体现在有色金属、非金属矿、化工化纤、土木工程、能源加工等板块上。资金净流
【2018资安趋势 3】5年钓鱼邮件大分析,凭证钓鱼成企业新威胁
【AWS网络钓鱼案例】从这两封电子邮件来看,左边才是真正AWS登入页面,右边则是百分之百仿造的网络钓鱼邮件,连需要输入双因素认证的位置,在假造页面中都存在。(图片来源/iThome) 美国矽谷金流公司Stripe资安工
【2018资安趋势 2】14年零时差漏洞威胁大剖析,平均潜伏至少5年能暗中搞鬼
Pardee△RAND研究院教授Lillian△Ablon调查分析表示,零时差漏洞最多9.53年(存活率25%)才会被揭露,最少低于1.51年(存活率75%),大部分漏洞暗中潜伏期长达5到8年才曝光。图片来源/RAND△ 美国军方智库兰德公司
Google即时通讯程式Allo也有网页版,但目前仅支援Android装置
Google去年发表了内建人工智慧助理Google△Assistant的即时通讯程式Allo。示意图,与新闻事件无关。 图片来源: Google Google智慧传讯软件Allo现在已经有Web版(Allo△for△Web),不过现阶段只有Android装置可以下
表外转表内的趋势在持续,金融支持实体经济的力度亦没有减弱。这是央行昨日公布的最新金融统计数据显示出的趋势。7月通常被视为传统的信贷小月,但是刚刚过去的7月,新增贷款却达到8255亿元,较去年同期增长78%。其中