Computerbeveiliging - Hoe je bad guys buiten de deur houdt

infoworld.com poogt bezoekers mbv xss te hacken

08-01-2017, 11:39 door [Account Verwijderd], 11 reacties
Ik zat zojuist op een website (via de TOR browser) genaamd infoworld , link:

http://www.infoworld.com/article/2612716/hacking/video--how-to-hack-php-sites-with-sql-injection.html

In mijn scherm kwam bovenin een balk te staan met de melding:
NoScript heeft een potentiële poging tot cross site scripting XSS van (http://www.infoworld.com) geblokkeerd. Technische details zijn in de Console vastgelegd.

Na openklikken van de console krijg je een pop-up met allerlei info (zei me niets)
helaas na het refreshen van de pagina is de melding dat er een xss attack plaatsvindt verdwenen.


Jammer ik had de inhoud van de console hier graag gepost om te achterhalen hoe dit soort aanvallen werken.

Wat vinden jullie van dergelijk gedrag door infoworld?
Reacties (11)
08-01-2017, 12:24 door Anoniem
"Wat vinden jullie van dergelijk gedrag door infoworld?"

Echt supergaaf dat ze dat doen!
08-01-2017, 12:50 door Anoniem
Door WesleyJ: Wat vinden jullie van dergelijk gedrag door infoworld?
Zonder meer informatie / bewijs hoe en of wat exact gebeurde is er natuurlijk weinig over te zeggen wat er exact gebeurde.
Dit wat moeten we nu zeggen over dit gedrag zonder dat we exact weten wat er gebeurde?
08-01-2017, 12:58 door Anoniem
Kan toch ook false positive zijn?

Maar ik zie af en toe wel eens dat tor browser wel eens last heeft van een man-in-the-middle attack en dat merk je niet meteen. Daar maak ik me meer zorgen om. Maar wat Noscript waarschuwd, dat kan gewoon een false positive zijn denk ik zo.
08-01-2017, 13:07 door Anoniem
Een 'potentiële aanval' is geen aanval. Als je verder geen info en/of bewijs hebt over wat er gebeurde is deze gehele post zonde van je tijd.
08-01-2017, 13:28 door Spiff has left the building
Door WesleyJ, 11:39 uur:
NoScript heeft een potentiële poging tot cross site scripting XSS van (http://www.infoworld.com) geblokkeerd. [...]
helaas na het refreshen van de pagina is de melding dat er een xss attack plaatsvindt verdwenen. [...]
Wat vinden jullie van dergelijk gedrag door infoworld?
Een cross-site scripting melding betekent niet per definitie dat er een aanval plaatsvindt.
Een cross-site scripting melding betekent enkel dat een beveiligingsfout in de webapplicatie gevonden wordt.
Dat zóu misbruikt kunnen worden door een aanvaller, maar de cross-site scripting melding betekent slechts dat de beveiligingsfout gevonden wordt, het zegt niet dat er sprake is van een aanval.
Het enige dat je InfoWorld kunt 'verwijten', dat is dat ze mogelijk een fout over het hoofd hebben gezien.
08-01-2017, 16:29 door Anoniem
Ha Wesley.J,

Het hangt er helemaal maar vanaf of de gedetecteerde cross site scripting XSS attack mogelijk is of niet.

Er moeten dan gaten zitten ofwel aan de server kant of aan de kant van de client en iemand let niet voldoende op!

Er zullen tevens geen bepaalde beveiligingsmaatregelen moeten zijn genomen in dat geval.
o.a. values moeten juist zijn ge-escaped, en aan onveiligheid - http security headers ontbreken,
sri hashing niet gegenereerd (same origin policy),geen beveiliging via cryptografische 'nonces'
content security policy en input-output validatie ontbreekt.

Op welk nivo zit de beveiliger/beveiliging?

Ik draai voor alerts Netcraft extensie en Malware Script Detector onder Tampermonkey.
Werk met regulaire expressie detectie.

Kijk eens hier naar eventuele mogelijke gaatjes: http://www.domxssscanner.com/scan?url=http%3A%2F%2Fwww.infoworld.com%2Farticle%2F2612716%2Fhacking%2Fvideo--how-to-hack-php-sites-with-sql-injection.html

en SRI rapport: https://sritest.io/#report/5f5cd7c1-40fb-4fe3-be12-735ab291c089

En daar deze die doordrenst op jquery: http://www.domxssscanner.com/scan?url=http%3A%2F%2Fa.postrelease.com%2Fserve%2Fload.js%3Fasync%3Dtrue

Voor een geslaagde XSS compromittal moet je mogelijkheden gebruiken, die aan de aandacht van de website beveiligers zijn ontsnapt, bijvoorbeeld gemanipuleerde bookmarklets zijn zo'n weg voor XSS injectie. Weleens aan gedacht dat
daarop niet wordt gevalideerd?

Anoniem van 13:07 heeft gelijk. Het kan met potentiële sources of sinks zijn, maar er zijn nog een heleboel voorwaarden te vervullen om er een werkelijke kwetsbaarheid van te maken.

Anderszins wel zinvol om te onderzoeken, de hacker onderzoekt ook alles en komt soms op een trouvaille.
Daarom zinvol als de code een alert produceert en zinvol om uit te zoeken waarom het niet zou kunnen werken.

De site infoworld dot com is niet "secure" en er vindt nogal wat tracking plaats: 9% of the trackers on this site could be protecting you from NSA snooping. Tell infoworld.com to fix it.

Tweet
All trackers
At least 17 third parties know you are on this webpage.

-www.googletagmanager.com
-p.typekit.net
- comScore
-jsonip.com
-shaaaaaaaaaaaaa.com
- www.infoworld.com
- fonts.staticworld.net
-a.postrelease.com
- t.zqtk.net
-i-dge.staticworld.net
-core0.staticworld.net
-tags.bkrtx.com BlueKai
- core3.staticworld.net
-trends.revcontent.com
- Parse.ly
- ak.sail-horizon.com
- pixel.staticworld.net

Succes met het analyseren van je alertjes en onthou een ding - niets is ooit zinloos gebleken.
Wat zinloos is voor de een is zinvol of betekent omgewerkt een hack voor de ander.

Blijf dus buiten de geijkte patronen denken en onthou: een goede 'zoeker' is de gevaarlijkste hacker de baas,
dat leerde ik al van wijlen F.R.A.V.I.A. (RIP) de resource engineer en searchlores guru,
toen ik cgi zwakheden besprak voor een speciaal woordenlijst voor Intellitamper.
08-01-2017, 18:36 door Anoniem
Ik zat zojuist op een website (via de TOR browser) genaamd infoworld , link:

http://www.infoworld.com/article/2612716/hacking/video--how-to-hack-php-sites-with-sql-injection.html

Een video zei je? Waar loopt die video op? Flashplayer misschien?
09-01-2017, 16:02 door Anoniem
Javascript beheer

De melding lijkt te worden veroorzaakt door javascript van / en of d1z2jf7jlzjs58.cloudfront.net

Code:
NS_ERROR_NOT_AVAILABLE: Component returned failure code: 0x80040111 (NS_ERROR_NOT_AVAILABLE) [nsIMIMEService.getTypeFromExtension] external-app-blocker.js line 131 > eval:1:0
uncaught exception: NoScript aborted redirection to https://d1z2jf7jlzjs58.cloudfront.net/p.js <unknown>

Maar de xss melding treedt in ieder geval pas zichtbaar op bij het toestaan van javascripts van deze: tags.bkrtx.com
Code:
http://tags.bkrtx.com/js/bk-coretag.js

Die laatste is volgens mij in ieder geval tracker-code (maar Cloudfront wordt daar ook voor gebruikt) die je over het algemeen al kan missen als kiespijn, maar in combinatie met Torbrowser volkomen nutteloos is en het internetten alleen maar langzamer (en onveiliger?) maakt.

Oplossing: Security Slider
Zet je security slider (privacy and security settings) wat hoger in Torbrowser, die mogelijkheid vind je onder de groene Torbutton.
De security slider stuurt ook de instellingen van de standaard ingebouwde NoScript addon aan.
Je hebt de security slider waarschijnlijk (nog) op de laagste standaard instelling staan.
Dan werken waarschijnlijk alle websites wel maar je laat die websites wel vol hun gang gaan met veel (niet alle) soorten javascripts.

Hoe hoger de slider, hoe minder javascripts, hoe veiliger en (over het algemeen*, niet altijd) meer secure je browser.
Maar ook hoe hoger de kans dat niet alle webfunctionaliteit van bepaalde websites direct werkt.
Dat zul je wat vaker handmatig javascript onder de NoScript button moeten toestaan om te kijken of iets wel werkt,
Afhankelijk van wat je wil valt het over het algemeen mee, veel websites zijn goed te lezen met veel javascript uitgeschakeld.

Test het uit met de diverse settings en vind uit wat voor jou acceptabel is met je favoriete websites.
In ieder geval is het zo dat hoe meer javascripts je tegenhoudt hoe sneller websites laden.


Noot

* Sommige (provider)websites krijgen het bijvoorbeeld voor elkaar wel te laten inloggen met niet toestaan van bepaalde javascripts maar onder dezelfde javascript blokkade javascript settings bijvoorbeeld niet meer veilig te kunnen uitloggen!

Dan krijg je zoiets
CONTROLE VERZOEK MISLUKT
Om u te beschermen, is toegang tot deze bron beveiligd tegen CSRF.
Wanneer u dit ziet, heeft u waarschijnlijk niet uitgelogd voordat u de webapplicatie verliet.

Menselijke interactie is nu vereist om door te gaan.

Neem alstublieft contact op met uw systeembeheerder.

Van het feit dat zonder toestaan van diezelfde bepaalde javascripts de mogelijke inhoud van je mailbox niet laadt wordt dan weer geen melding gemaakt.
Als je je mailbox periodiek schoont kan het betekenen dat je denkt dat er geen nieuwe mail is binnengekomen terwijl dat wel zo is.
Oppassen dus!

Helaas is bij sommige bedrijven marketing en het hoog scoren in de klantstatistiek belangrijker dan het oppakken van website euvels middels feedback.
Zelf een werkbare oplossing vinden (is het een geblokkeerd javascript en welke?) is dan werkbaarder dan op zoek gaan naar die zogenaamde systeembeheerder of tijd te verspillen aan feedback aan het betreffende bedrijf.

Wees dus alert op je javascript instellingen van NoScript bij de functionaliteit van kritische (belangrijke) websites!
Want soms in geblokkeerde javascript nodig en kan een blokkade ongezien in de weg zitten.
10-01-2017, 00:43 door Anoniem
Anoniem van 16:02
Bedankt voor je duidelijk uitgelegde analyse van de alert in kwestie.

De veroorzaker was dus de -tags.bkrtx.com BlueKai tracker!

Hiermee wordt dit geblokkeerd bluekai.com third party tracking, namelijk zie: https://github.com/mozilla/blok
Adblokkers hadden namelijk aanvankelijk grote moeite met het blokkeren van het script van deze user data seller.

Giorgio Maone's No-Script blijkt een altijd werkend en uniek concept voor het mitigeren van javascript bedreigingen,
zeer zeker ook in tor.

Strijd mee in de zoektocht naar betere online privacy, beveiliging en vrijheid.
11-01-2017, 12:46 door Anoniem
Een 'potentiële aanval' is geen aanval

Indien er een melding wordt gedaan van een ''mogelijke inbraak'' in jouw huis, betekent dat dan per definitie dat er geen sprake is van een inbraak, m.b.t. jouw huis ? De uitleg van 16:02 is constructief. Reacties met dit soort kreten niet.
11-01-2017, 16:50 door Anoniem
Door Anoniem:
Een 'potentiële aanval' is geen aanval

Indien er een melding wordt gedaan van een ''mogelijke inbraak'' in jouw huis, betekent dat dan per definitie dat er geen sprake is van een inbraak, m.b.t. jouw huis ?
Correct.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.