#!/xeye_team/G
#date:2010-04-01
[ 信任机制下的问题 ]
这个本来是2010年的愚人节想要发布的。
每年的4-1都是xeye的周年纪念,不管手里的料有没有被抖光了,还是得来扯扯蛋表示我们还在地球。
-=-=-=-=-=-=-=-=-=
I. 信任机制
信任是用于简化流程、关系的一种手段,采取信任之后会产生依赖关系。
比方说,我想要买食物,我本来需要自己带钱再花30分钟的路程来回,而当我想要偷懒的时候,我可以信任A,然后把钱交给A并拜托A来帮我买食 物。
在这种情境下便造成潜在威胁:
a、(信任资格)A的品味太差了,食物难以下咽,导致整个事件 的底线跌破了。
b、(信任风险)A拿了钱不完成买食物的流程。
c、(信任程度)A完成这件事情超出预计的时间。
在业务中应用信任机制,实际上我们可以将人与人之间的信任机制投射进来,以便于使用我们惯用的思维方式分析问题,这个与人斗的能力经过长期进 化,在下意识层面中就能够进行复杂的逻辑分析,判定对一个人的信任程度并且立即进行决策。
-=-=-=-=-=-=-=-=-=
II. 理性决策
假如按照这个思考角度,同理,信任机制在这里可看做俗称的白名单,在白名单中的风险包含了以上的几种问题,在这里以百度作为示例;)
在需求分析的阶段,预见业务上可能出现的问题很容易淹没了安全方面的考虑,或者为了资源消耗的问题而减弱了安全。
譬如视频功能。百度架设自己的视频存储服务器的话,对于传输能力会有硬性的高要求,为了达到高并发、数据流cache、高视频质量,对文件存储 系统、操作系统环境、DB架构都是考验,经常可以看到一些知名的视频站甚至自己开发了一些内存管理系统等等,这里边还会涉及到上传的权限策略,即让谁传, 传什么,怎么传,传完放哪,怎么与其他功能业务联动,联动是一个很重要并且很危险的事情,从找茬的角度去看,上传是一个威胁输入,假如在功能之间建立信任 机制的行为,这个行为又会引入信任机制的潜在威胁,把这个威胁扩散,这些威胁会根据实际限制而变动。对于上次QQ的部分分站被黑,采取的手法是寻找上传 点,使用上传漏洞获取权限,对于这个上传的功能假如在其他域得到联动,那又打开了威胁扩散的道路,通过上传其他域不允许的数据,然后在其他域引用…
说远了,百度的视频功能采取的手段是引入其他平台的视频,那么将它看做一个带有信任机制的联动,百度就需要进行一个理性决策,来规避一厢情愿的 信任导致信任滥用的威胁。
首先,百度中插入视频的功能都基于统一的白名单机制,按照说明是:
土豆网 56.com 优酷网
酷6网 六间房 mofile.com
QQ播客 新浪视频 sohu视频
偶偶视频 UUME youtube
百度给予以上网站信任资格,但仅仅代表对这些网站提供视频功能的信任。
说明见:
http://www.baidu.com/search/hi_faq.html#27
http://static.tieba.baidu.com/tb/help/new/index.html#n5
其中,在百度空间、百度贴吧应用了这个插入视频功能,以百度空间为例,只要借助这些网站的漏洞就可以将风险引入百度,而这些网站的安全程度是低于百 度的。
-=-=-=-=-=-=-=-=-=
III. DEMO
百度空间中插入视频使用了embed标签,type未严格指定application/x-shockwave-flash。
所以这里可以借助webkit内核渲染embed标签的特性来实现攻击,未指定type的情况下,webkit会以html的方式解析,效果可以看 做是iframe了。
在QQ空间下也有同样的问题,直接插入视频即可,它甚至不建立信任机制,随意插入视频……此外,GOOGLE阅读器已经FIX了:(
测试代码:
{{
<embed src=”http://www.baidu.com” allowscriptaccess=”never” allowfullscreen=”true” width=”420″ height=”363″ wmode=”transparent”>
}}
运行后可以看到iframe效果的框- -b
FIX也很容易,不要偷懒嘛,指定type:
{{
<embed src=”http://www.baidu.com” allowscriptaccess=”never” allowfullscreen=”true” width=”420″ height=”363″ wmode=”transparent” type=”application/x-shockwave-flash”>
}}
加上土豆的跨站:
http://www.tudou.com/my/channel/item.srv?icode=enQCgQKJTDs&callback=%3Ciframe%20src=http://www.baidu.com%20type=%22text/javascript%22%3E%3C/iframe%3E
土豆的反射型代码注入跨站+webkit的解析特性,就可以让百度空间跨站;-)
本文还暂无回复