SEZNAM.CZ: Znovu šlo získat přístup do cizího emailu. Stačila 1 vteřina (Session Hijacking 2023)
Vložit
- čas přidán 24. 05. 2024
- Celý writeup naleznete zde: marektoth.cz/blog/dalsi-krade...
Kde mě sledovat?
LINKEDIN / marek-toth
INSTAGRAM / marektoth.jpg
TWITTER / marektoth
WEB www.marektoth.cz
00:00 Varování
00:06 Úvod
01:09 Proč je zabezpečený e-mail tak důležitý?
02:13 Seznam Email
02:32 Jak funguje session na Seznamu
05:40 Session Hijacking
07:14 Základní bezpečnostní problém
08:55 Jak jsem postupoval (walkthrough writeup)
32:41 Souhrn nalezených zranitelností
37:31 Exploit
41:22 Demo
44:51 Post Exploitation
46:25 Video útoku
49:19 Používáte Seznam? Zkontrolujte si nastavení
49:59 Shrnutí
51:29 Timeline
"8 milionů aktivních mailových schránek" Jsem rád, že mezi ně nepatřím. Na Seznam jsem zanevřel více jak před 10 lety.
tak pokud používáš jakoukoliv službu od Googlu, tak tvoje tvrzení a přístup k věci nemá žádnou váhu:D
@matous96 dík za info, hned se mi žije lépe.
Super video. Tyto věci jsem studoval na cysa+ certifikaci a vidět to v praxi je moc zajímavé a lépe jsem to pochopil. Btw doufám že prachy na individuální bug bounty program šly z budgetu na prémie securitaku ze seznamu 😂 I když ta částka je směšná vzhledem k úsilí a kritičnosti. Super způsob takhle veřejně to reportovat, do budoucna určitě pomůže profesně. Good luck 👍
o bezpečnosti seznamu se ví už velmi dlouho, osobně nechapu jak to někdo může využívat jako svůj main email. :D
ani se to pochopit nesnaž, evidentně na to nemáš.
Super práce
Skvělá práce, díky Vaší důmyslnosti je seznam o trochu bezpečnější, což je dobrá zpráva pro všechny uživatele. Jen ten dress-code mi (byť na white hat) hackera úplně nesedí ;-)
Borec se vyparadi a stejne dostane bidu.
..klobuk dole ..takto to cele dotiahnut ...nie len najs XSS ... respekt :)
hacknout se dá i google učet všechno a když se na tebe někdo zaměří neuděláš nic.
10:36 Chrom ma v sebe zabudovane "ochrany" (alebo firefox nie som si istí ) proti xss takže napr. klasickí payload nebude fungovať. preto to napr. v opere fungovať môže. * 11:34 XDD aha tak to bol problém zaujímavé.
Bros v seznamu použili innerHTML 🤣
seznam opravil aj ten cookie managment aby sa session nedala vyzobnuť javascriptom alebo opravili iba tú xss injekciu v tom reklamnom banery? ak opravili iba vektor tej injekcie tak sa dá očakávať že tam majú ešte kostlivcov v kode alebo ich tam budú časom mať.
17:05 Na iphonu se adblock pouziva :-)
dokážeš aj sietový hacking alebo iba útoky web perimeter? Mne príde že webové zranitelnosti sú zaujimavé iba v takýchto mäsovo používaných aplikáciach ako je seznam, ale sieť mi príde "za malo prace hodne muziky" .. a miskonfiguracia a chyby v sieti má hodne firiem
A nebál jste se, že na Vás podají trestní oznámení, že jste si dovolil stlačit klávesu F12 a říct jim, že něco mají špatně?
Ne, nebál jsem se. Vše je vysvětleno v úvodním videu - své postupy konzultuji s advokátní kanceláří zaměřující se na kyberbezpečnost. Pokud by na mě chtěli dát trestní oznámení, moc by neuspěli.
V podstatě se jedná o etický hacking... tohle má dělat seznam sám...
@@pavelboucek9304 Jak víte, že to nedělá? Googlu bylo v minulém roce nahlášeno přes 2900 bezpečnostních chyb. Znamená to, že Google nedělá bezpečnostní testy?
@@MarekToth-CZ A řekl jsem snad, že to nedělá? ;D
@@MarekToth-CZ Pokud neupozornili uživatele na sdílení schránky resp. přeposílání pošty a neposílají na to pravidelné upozornění (jako to dělá třeba Google) a zároveň chtějí tutlat 0-click zranitelnost, která by už měla být opravená, vypovídá to dostatečně o přístupu Seznamu k bezpečnosti uživatelů.
Chápu správně, že session cookie byla uložena jako http-only, takže ji nelze číst pouhým XSS a proto bylo potřeba těch session cookies v response body na některých endpointech?
Přesně tak. Session cookie v response body bylo možné přečíst pomocí XSS, bylo ale nutné zachovat Same-Origin-Policy.
Mám adblock i na telefonu ale seznam nepoužívám
Bavil jste se s nimi o možnost vyhlásit Bug bounty program, mají ho, chtějí?
Momentálně mají pouze interní Bug Bounty program pro zaměstnance. BB pro veřejnost prý plánují.
Čert vem seznam.. normálně na stránkách komerční banky šlo používat XSS :D to je proste bizár
To je ale tak 10 let zpět ne? :)
@@TheRettrixx je to asi 2 měsíce
Pokud se jedná o veřejně známou XSS zranitelnost, tak co vím, tak to nemělo žádný přímý dopad na uživatele (bez větší asistence od oběti to nešlo zneužít). Jednalo o Reflected XSS na běžných informačních stránkách, tedy mimo internetové bankovnictví.
@@MarekToth-CZ ano to je pravda, ale i tak je to bankovnictví. Furt by to mělo být nějakým způsobem zabezpečené. I když je to jenom landing page, což je textovej dokument. Není po tom dobrý pocit, jestli se chápeme.
@@ondrej6108 Souhlasím. Jen bych to asi úplně nenazýval bizárem, když to zneužití bylo velmi limitované :) V nejbližší době budu vydávat další zajímavé video/článek, kdy bylo možné napřímo krást lidem finance... to už bizár byl :)
Jaký byl prosím použit odkaz na FaceBooku v 47:03? Využil jste chyby na straně YouTubu?
Využívám dlouho neopravené chyby na straně Facebooku (chybu nechtějí ani opravovat). Pro více informací prosím o napsání zprávy.
Pokud už bude mít někdo podezření, snad by pomohlo, kdyby se nejdříve odhlásil, potom smazal cookies, zrestartoval, přihlásil se znova, změnil heslo a vypnul cookies třetích stran.
Ne, to by opravdu nepomohlo. Všechny session (cookies) už dávno smazal Seznam. Změna hesla nebo vypnutí cookies třetích stran nemá žádný vliv na funkce "Sdílení schránky" nebo "Pravidla", které mohl útočník ovlivnit. To je i důvod, proč tyto sekce doporučuji zkontrolovat.
Session hijacking není úplně jen problém na Seznamu, třeba LinusTechTips se s tím pral i na CZcams, když ukradli celé LTT portfólio. Vždy je to jiný útok, ale většinou moc velké zabezpečení session není. Přitom by teoreticky vzato jen stačilo do Session přidat IP adresu, se kterou se user loguje. Pokud nesedí při switchování stránek, prostě invalidate a logout.
zdarec inao, kdy bude dalsi skid update 😎
@@Hit6PvP Asi už nebude :( Kdo ví, kde je LiquidDev
@@inao-cz zmizel jak lemon :(
@@Hit6PvP jo no :(
Tak že pokud se nepřihlásim někde na cizím PC tak ten session nelze ziskat?
Asi nerozumím. Session lze získat z libovolného prohlížeče, pokud je uživatel aktuálně přihlášený. Jde jen o to, jakým způsobem. Ve videu ukazuju, jak bylo možné získat session cizího účtu pouze tím, že uživatel používal internet běžným způsobem.
To ověřování dle IP adresy je problematické, protože existuje něco jako dynamická IP adresa, která se může v průběhu připojení změnit (to také zapřičiňuje dočasné chyby jako "network change detected" v Chromu). Z toho důvodu není možné ověřovat session podle IP adresy, protože se IP adresa může najednou změnit, zcela náhodně a nečekaně.
co třeba zapnutí dat/fifiny, na to nepotřebuješ žádnou dynamiku
tady jde spíš o mobily :D Jednou jsi na školní wifině, jednou v mekáči, pak na datech, které mají furt jinou ip. Úplně nechceš, aby tě messenger odhlašoval pokaždé, co se pohneš :D
kdy bude další video?
👀
Momentálně mám rozepsaný writeup. Pak proběhne schválení obsahu danou společností. Pokud půjde všechno dobře, tak do 2-3 týdnů budu zveřejňovat jak nový článek tak i video
Jak se na to v Seznamu tvářili? 🙂
Na jednu stranu zhrození, že tam takováto chyba byla. Na druhou stranu byli velmi rádi, jelikož na ní někdo zodpovědně upozornil :)
@@MarekToth-CZ Tak ono už fakt, že se Vám podařilo najít několik míst přístupu na XSS je pro ně minimálně podnět pro revizi všech uživatelských vstupů.
Sám jsem si to vyzkoušel na své schránce a bohužel je to funkční :(
Co je funkční? Popisované bezpečnostní chyby (XSS, Session v response body...) jsou již opraveny.
Hello Moto. 🤣Ano, Marek Toth a zástupce firmy Motorola, která mi .. ano .. posílá mobily zdarma. Takže .. Strach lže a ty mu věříš (viz můj profil, linky). A tadidádidá ... to jsem měl říct já? Ano, a vo tom to je.
ezopicus