主持人: 女士们先生们,这个演讲非常有趣,非常有趣,今天我们要讲的是在互联网上观察到的真实的事情。 这次对话与我们在黑帽会议上习惯的对话有点不同,因为我们将讨论攻击者如何从攻击中赚钱。
我们将向您展示一些可以获利的有趣攻击,并告诉您我们在讨论 Jägermeister 并集思广益的当晚实际发生的攻击。 这很有趣,但是当我们清醒一点后,我们与 SEO 人员交谈,实际上了解到很多人正在从这些攻击中赚钱。
我只是一个无脑的中层管理人员,所以我会让座给你们介绍杰里米和特雷,他们比我聪明得多。 我应该有一个聪明而有趣的介绍,但我没有,所以我将展示这些幻灯片。
屏幕上显示杰里米·格罗斯曼和特雷·福特的幻灯片。
Jeremy Grossman 是 WhiteHat Security 的创始人兼首席技术官,2007 年被 InfoWorld 评为 25 名顶尖 CTO 之一,Web 应用程序安全联盟的联合创始人,以及跨站点脚本攻击的合著者。
Trey Ford 是 WhiteHat Security 架构解决方案总监,拥有 6 年财富 500 强公司安全顾问经验,也是 PCI DSS 支付卡数据安全标准的开发者之一。
我认为这些照片弥补了我缺乏幽默感。 无论如何,我希望您喜欢他们的演示,然后了解如何利用这些攻击在互联网上赚钱。
杰里米·格罗斯曼:下午好,谢谢大家的到来。 这将是一次非常有趣的对话,尽管您不会看到零日攻击或很酷的新技术。 我们会尽力让它变得有趣,并谈论每天发生的真实事情,这些事情可以让坏人赚很多钱。
我们并不是想用这张幻灯片上显示的内容给您留下深刻的印象,而是简单地解释一下我们公司的业务。 因此,白帽哨兵或“白帽卫士”是:
- 无限数量的评估——对客户站点进行控制和专家管理,能够扫描站点,无论其大小和更改频率如何;
- 覆盖范围广——授权扫描站点以检测技术漏洞,并进行用户测试以识别未覆盖业务领域的逻辑错误;
- 消除误报——我们的运营团队审查结果并分配适当的严重性和威胁评级;
- 开发和质量控制 - WhiteHat Satellite Appliance 系统允许我们通过访问内部网络来远程服务客户端系统;
- 改进与改进——真实的扫描让您能够快速高效地更新系统。
因此,我们审核世界上的每个网站,我们拥有最大的 Web 应用程序渗透测试人员团队,我们每周进行 600-700 次评估测试,您在本演示文稿中看到的所有数据都来自我们从事此类工作的经验。
在下一张幻灯片中,您将看到全球网站上 10 种最常见的攻击类型。 这显示了某些攻击的脆弱性百分比。 正如您所看到的,65% 的网站容易受到跨站脚本攻击,40% 的网站容易发生信息泄露,23% 的网站容易受到内容欺骗的攻击。 除了跨站脚本之外,SQL 注入和臭名昭著的跨站请求伪造也很常见,但这些行为并未包含在我们的前十名中。 但此列表包含具有深奥名称的攻击,这些攻击使用模糊的语言进行描述,其特殊性在于它们针对某些公司。
这些是身份验证缺陷、授权过程缺陷、信息泄露等等。
下一张幻灯片讨论了对业务逻辑的攻击。 参与质量保证的 QA 团队通常不会关注它们。 他们测试软件应该做什么,而不是它可以做什么,然后你就可以看到你想要的任何内容。 扫描仪,所有这些白/黑/灰盒子,所有这些多色盒子在大多数情况下都无法检测到这些东西,因为它们只是专注于攻击可能是什么或发生类似攻击时发生的情况。 他们缺乏智慧,不知道任何事情是否有效。
IDS和WAF应用防火墙也是如此,它们也无法检测到业务逻辑缺陷,因为HTTP请求看起来完全正常。 我们将向您展示与业务逻辑缺陷相关的攻击完全自然发生,没有黑客,没有元字符或其他奇怪的东西,它们看起来像是自然发生的过程。 最主要的是,坏人喜欢这些东西,因为业务逻辑上的缺陷可以让他们赚钱。 他们使用 XSS、SQL、CSRF,但这些类型的攻击变得越来越难以实施,而且我们看到它们在过去 3-5 年中有所减少。 但它们不会自行消失,就像缓冲区溢出不会消失一样。 然而,坏人正在考虑如何使用更复杂的攻击,因为他们相信“真正的坏人”总是想从他们的攻击中赚钱。
我想向您展示一些真正的技巧,您可以采用这些技巧并以正确的方式使用它们来保护您的业务。 我们演示的另一个目的是您可能对道德感到好奇。
在线民意调查和投票
因此,为了开始讨论业务逻辑的缺点,我们先来谈谈在线调查。 在线民意调查是了解或影响公众舆论的最常见方式。 我们将从 0 美元的利润开始,然后查看 5、6、7 个月的欺诈计划的结果。 让我们从做一个非常非常简单的调查开始。 您知道每个新网站、每个博客、每个新闻门户网站都会进行在线调查。 也就是说,没有什么利基太大或太窄,但我们希望看到特定领域的公众舆论。
我想提请您注意在德克萨斯州奥斯汀进行的一项调查。 由于奥斯汀小猎犬赢得了威斯敏斯特狗展,奥斯汀美国政治家决定为德克萨斯州中部的狗主人进行在线奥斯汀最佳表演民意调查。 数千名业主提交了照片并投票选出了他们最喜欢的照片。 与许多其他调查一样,除了为您的宠物吹嘘的权利之外,没有其他奖励。
使用Web 2.0 系统应用程序进行投票。 如果您喜欢这只狗,并了解它是否是该品种中最好的狗,则单击“是”。 因此,您对网站上发布的数百只狗进行了投票,作为该节目获胜者的候选人。
通过这种投票方法,可能存在 3 种作弊行为。 第一个是无休止的投票,你一遍又一遍地投票给同一只狗。 这很简单。 第二种方法是多次否定投票,即你对一只竞争的狗进行多次投票。 第三种方式是,实际上在比赛的最后一刻,你放置了一只新狗,对其进行投票,这样获得负面选票的可能性就很小,并且你通过获得100%的正面选票获胜。
而且,胜利是以百分比来确定的,而不是以总票数来确定的,也就是说,你无法确定哪只狗获得了最多的正面评价,只计算了特定狗的正面和负面评级的百分比。 具有最佳正/负分数比的狗获胜。
同事罗伯特“RSnake”汉森的朋友请他帮助她的吉娃娃小号赢得比赛。 你认识罗伯特,他来自奥斯汀。 他就像一个超级黑客一样,修复了 Burp 代理并选择了阻力最小的路径。 他使用了作弊技术#1,通过数百或数千个请求的 Burp 循环来运行它,这为狗带来了 2000 票赞成,并使其获得了第一名。
接下来,他对Tiny的竞争对手,昵称Chuchu,使用了作弊技巧二。 比赛最后几分钟,他对Chuchu投了2票,以超过450:1的得票比进一步巩固了Tiny第一名的位置,但从正面和负面评论的比例来看,Tiny仍然输了。 在这张幻灯片上,您可以看到网络犯罪分子的新面孔,他们因这一结果而灰心丧气。
是的,这是一个有趣的场景,但我认为我的朋友不喜欢这个表演。 你只是想赢得奥斯汀的吉娃娃比赛,但有人试图攻击你并做同样的事情。 好吧,现在我把电话转给特雷。
创造人为需求并从中赚钱
特雷·福特: “人工DoS”的概念指的是我们在线购票时的几种不同的有趣场景。 例如,预订航班上的特殊座位时。 这适用于任何类型的门票,例如体育赛事或音乐会。
为了防止重复购买稀缺物品,例如航空公司座位、实物物品、用户名等,应用程序将物品锁定一定时间以防止冲突。 这就是与提前预订某些东西的能力相关的漏洞。
我们都知道超时,我们都知道结束会话。 但这种特殊的逻辑缺陷使我们能够在航班上选择座位,然后返回时再次进行选择,而无需支付任何费用。 当然,你们中的许多人经常出差,但对我来说,这是工作的重要组成部分。 我们已经在很多地方测试了这个算法:您选择航班,选择座位,只有当您准备好时才输入您的付款信息。 也就是说,当你选择了一个地点后,它会为你保留一段时间——从几分钟到几个小时,并且在这段时间内没有其他人可以预订这个地点。 由于这段等待时间,您实际上有机会通过返回网站并预订您想要的座位来预订飞机上的所有座位。
因此,出现了 DoS 攻击选项:对飞机上的每个座位自动重复此循环。
我们已经在至少两家主要航空公司上对此进行了测试。 您可以在任何其他预订中发现相同的漏洞。 对于那些想转售门票的人来说,这是一个提高门票价格的好机会。 为此,投机者只需预订剩余的门票即可,无需承担任何金钱损失的风险。 通过这种方式,你可以“搞垮”销售高需求产品的电子商务——视频游戏、游戏机、iPhone等。 也就是说,在线预订或预订系统中现有的缺陷允许攻击者从中赚钱或对竞争对手造成损害。
验证码解密
杰里米·格罗斯曼: 现在我们来谈谈验证码。 每个人都知道互联网上散布着那些令人讨厌的图片,它们被用来打击垃圾邮件。 您还可以从验证码中获利。 验证码是一种全自动图灵测试,可让您区分真人与机器人。 在研究验证码的使用过程中,我发现了很多有趣的事情。
验证码于 2000 年至 2001 年左右首次使用。 垃圾邮件发送者希望消除验证码,以便注册免费电子邮件服务 Gmail、Yahoo Mail、Windows Live Mail、MySpace、FaceBook 等。 并发送垃圾邮件。 由于验证码的使用相当广泛,因此出现了整个服务市场,可以绕过无处不在的验证码。 最终,这会带来利润——一个例子就是发送垃圾邮件。 有3种方法可以绕过验证码,让我们来看看。
首先是思路实现上的缺陷,或者说验证码使用上的缺陷。
因此,问题的答案包含的熵太少,例如“写出 4+1 等于什么”。 同样的问题可能会重复很多次,而且可能的答案范围很小。
验证码的有效性是这样检查的:
- 测试应在人和服务器彼此远离的条件下进行,
测试对个人来说不应该是困难的; - 问题应该是人们可以在几秒钟内回答出来,
只有被问问题的人才能回答; - 回答这个问题对于计算机来说一定是困难的;
- 先前问题、答案或其组合的知识不应影响下一次测试的可预测性;
- 测试不得歧视有视力或听力障碍的人;
- 测试不得存在地理、文化或语言方面的偏见。
事实证明,创建“正确”的验证码相当困难。
验证码的第二个缺点是使用 OCR 光学字符识别的可能性。 一段代码能够读取验证码图像,无论它包含多少视觉噪声,查看它是由什么字母或数字组成的,并自动执行识别过程。 研究表明,大多数验证码都可以轻松破解。
我将引用英国纽卡斯尔大学计算机科学学院专家的观点。 他们谈到破解微软验证码的容易程度:“我们的攻击能够实现 92% 的分割成功率,这意味着通过分割图像然后识别,MSN 验证码方案可以在 60% 的情况下被破解。 ” 破解雅虎的验证码也同样简单:“我们的第二次攻击取得了 33,4% 的分段成功率。 因此,大约25,9%的验证码可以被破解。 我们的研究表明,垃圾邮件发送者永远不应该使用廉价的人力来绕过雅虎的验证码,而应该依赖低成本的自动攻击。”
第三种绕过验证码的方法称为“Mechanical Turk”,即“Turk”。 我们在发布后立即针对雅虎的验证码对其进行了测试,直到今天我们还不知道,也没有人知道如何防范此类攻击。
在这种情况下,有一个坏人会运行一个“成人”网站或在线游戏,用户可以从其中请求某些内容。 在他们看到下一张图片之前,黑客拥有的网站将向您熟悉的在线系统(例如雅虎或谷歌)发出后端请求,从那里获取验证码并将其发送给用户。 一旦用户回答了问题,黑客就会将猜测的验证码发送到目标站点,并向用户显示其站点上请求的图像。 如果您有一个非常受欢迎的网站,其中有很多有趣的内容,您可以动员一大群人,他们会自动为您填写其他人的验证码。 这是一个非常强大的东西。
然而,不仅人们试图绕过验证码;企业也使用这种技术。 罗伯特“RSnake”汉森曾经在他的博客上与一位罗马尼亚“验证码解决者”交谈,他说他每小时可以解决 300 到 500 个验证码,每解决一千个验证码的费用为 9 到 15 美元。
他直接表示,他的团队成员每天工作 12 个小时,在此期间解决了大约 4800 个验证码,根据验证码的难度,他们每天最多可以获得 50 美元的工作报酬。 这是一篇有趣的文章,但更有趣的是博客用户在这篇文章下留下的评论。 越南立即传来一条消息,某光雄报告了他的 20 人小组,他们同意以每 4 个验证码猜测 1000 美元的价格工作。
下一条消息来自孟加拉国:“你好! 希望你没事! 我们是孟加拉国领先的加工公司。 目前,我们的 30 名运营商每天能够解决超过 100000 个验证码。 我们提供优越的条件和低廉的价格 - 来自 Yahoo、Hotmail、Mayspace、Gmail、Facebook 等网站的 2 个猜测验证码仅需 1000 美元。 我们期待进一步的合作。”
另一条有趣的信息是某巴布发来的:“我对这个作品感兴趣,请给我打电话。”
所以这很有趣。 我们可以争论这种活动的合法性或非法性,但事实是人们确实从中赚钱。
访问其他人的帐户
特雷·福特: 我们要讨论的下一个场景是通过接管别人的账户来赚钱。
每个人都会忘记密码,对于应用程序安全测试,密码重置和在线注册代表两个不同的、重点突出的业务流程。 重置密码的便捷性与注册的便捷性之间存在很大差距,因此您应该努力使密码重置过程尽可能简单。 但如果我们试图简化它,就会出现问题,因为重置密码越简单,安全性就越低。
最引人注目的案例之一涉及使用 Sprint 的用户验证服务进行在线注册。 两名白帽团队成员使用 Sprint 进行在线注册。 为了证明您是您,您必须确认几件事,首先是您的手机号码这样简单的事情。 您需要在线注册来管理银行帐户、支付服务费用等。 如果您可以通过别人的帐户购买手机,然后进行购买并执行更多操作,那么购买手机会非常方便。 诈骗手段之一就是更改付款地址,将一大堆手机订单运送到您的地址,受害者将被迫付款。 跟踪狂人也梦想着这个机会:为受害者的手机添加 GPS 跟踪功能,并通过任何计算机跟踪他们的一举一动。
因此,Sprint 提供了一些最简单的问题来验证您的身份。 众所周知,安全性可以通过非常广泛的熵或高度专业化的问题来保证。 我将向您宣读 Sprint 注册过程的一部分,因为熵非常低。 例如,有一个问题:“选择在以下地址注册的汽车品牌”,品牌选项有莲花、本田、兰博基尼、菲亚特和“以上都不是”。 告诉我,你们谁有以上的情况? 正如您所看到的,这个具有挑战性的难题对于大学生来说是获得廉价手机的绝佳机会。
第二个问题:“以下哪一个人与您住在一起或住在以下地址”? 即使您根本不认识这个人,也很容易回答这个问题。 Jerry Stifliin - 这个姓氏中有三个“ay”,我们稍后会讲到 - Ralph Argen、Jerome Ponicki 和 John Pace。 该列表的有趣之处在于,给出的名称绝对是随机的,并且它们都遵循相同的模式。 如果你计算一下,那么你识别真实姓名就没有困难,因为它与随机选择的名字有一些特征不同,在本例中是三个字母“i”。 由此可见,Stayfliin显然不是一个随意起的名字,而且很容易猜到,这个人就是你的目标。 这非常非常简单。
第三个问题:“您从未在所列出的城市中居住过或从未在您的地址中使用过该城市?” — 朗蒙特、北好莱坞、热那亚或比尤特? 华盛顿特区周围有三个人口稠密的地区,因此显而易见的答案是北好莱坞。
Sprint 在线注册时需要注意一些事项。 正如我之前所说,如果攻击者能够更改您的付款信息中的购买送货地址,您可能会受到严重伤害。 真正可怕的是我们有移动定位服务。
有了它,您可以跟踪员工的活动,因为人们使用手机和 GPS,并且您可以在地图上看到他们所在的位置。 所以在这个过程中还发生了一些其他非常有趣的事情。
如您所知,重置密码时,电子邮件地址优先于其他用户验证和安全问题方法。 下一张幻灯片显示了许多服务,如果用户无法登录其帐户,这些服务可以指示您的电子邮件地址。
我们知道大多数人使用电子邮件并拥有电子邮件帐户。 突然间,人们想找到一种从中赚钱的方法。 您始终会找到受害者的电子邮件地址,将其输入表单中,然后您将有机会重置您想要操纵的帐户的密码。 然后,您在网络上使用它,该邮箱就成为您的黄金金库,您可以从中窃取受害者的所有其他帐户。 您只需占有一个邮箱即可收到受害者的全部订阅。 别笑了,这件事很严重!
下一张幻灯片显示了有多少人使用相应的电子邮件服务。 人们积极使用 Gmail、Yahoo Mail、Hotmail、AOL Mail,但你不必成为超级黑客才能接管他们的帐户,你可以通过外包来保持双手干净。 你总是可以说与这无关,你没有做那样的事情。
因此,在线服务“密码恢复”的总部位于中国,您可以付费让他们破解“您的”帐户。 花300元人民币,约合43美元,就可以尝试重置国外邮箱密码,成功率高达85%。 只需 200 元人民币(即 29 美元),您就能成功重置家庭电子邮件服务邮箱密码 90%。 侵入任何一家公司的邮箱需要花费一千元人民币,即 143 美元,但并不能保证成功。 您还可以外包163、126、QQ、雅虎、搜狐、新浪、TOM、Hotmail、MSN等密码破解服务。
美国黑帽会议。 致富或死亡:使用黑帽方法在线赚钱。 第 2 部分(链接将于明天提供)
一些广告🙂
感谢您与我们在一起。 你喜欢我们的文章吗? 想看更多有趣的内容? 通过下订单或推荐给朋友来支持我们, , 在我们为您发明的独特的入门级服务器模拟上,Habr 用户可享受 30% 的折扣: (适用于 RAID1 和 RAID10,最多 24 个内核和最多 40GB DDR4)。
戴尔R730xd便宜2倍? 只有这里 在荷兰! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 阅读
来源: habr.com