Redirección de Favicon Posible falla de seguridad

Navega tus respuestas
8

Tengo el dominio example.com

Cuando ingreso la URL enlace , Chrome carga la página y también intenta cargar enlace , y esa solicitud recibe un redireccionamiento 301 a ** http: //**main.example.com, y recibe el contenido HTML del mismo.

Sé cómo solucionarlo, pero estoy interesado en lo que sucederá, porque main.example.com no está en https, cualquiera podría atacar (reemplazar con DNS) y responder a la redirección 301 con su contenido malicioso.
Fue una redirección de faviconos, por lo que Chrome al menos no parecía ejecutar el código.
Cambié main.example.com para responder 

<script type="text/javascript">alert("hola")   </script>

pero la alerta no se ejecutó.

Entonces, ¿esto es un fallo de seguridad?

    
pregunta Ricardo Umpierrez 07.05.2015 - 15:29
fuente

3 respuestas

4

De acuerdo con tu pregunta, Chrome estaba cargando un favicon HTTP simple en una página HTTPS sin ninguna advertencia del navegador. Interesante.

La redirección a un sitio web HTTP simple no es una vulnerabilidad en sí misma. Sin embargo, es una falla de seguridad si la redirección es accidental y desea que sus usuarios permanezcan en un canal seguro y confiable para su sitio.

El contenido del script no se ejecutará en un favicon, pero la solicitud podría filtrar cookies si el dominio de las cookies no está configurado correctamente y el El indicador de seguridad no está establecido. Un atacante también podría hacer esto con su sitio si el usuario visita cualquier sitio bajo HTTP simple.

Si hay vulnerabilidades del navegador que pueden activarse desde un favicon que podría estar poniendo Sus usuarios están en riesgo aquí, aunque la redirección inicial y la vulnerabilidad del navegador son fallas en el navegador en lugar de su sitio.

    
respondido por el SilverlightFox 07.05.2015 - 16:48
fuente
1

De hecho, existe una vulnerabilidad, porque, como observó, un atacante podría interceptar el tráfico en la línea no segura y cambiarlo.

La razón por la que su secuencia de comandos no se ejecutó es que esto vino en el favicon, y Chrome (aparentemente) no ejecuta las secuencias de comandos en el favicon.

Para explotar esto, deberías hacer que Chrome ejecute el código en la versión favorita.
Una forma de hacer esto sería usar un desbordamiento de búfer en el código que hace que el favicon, para hacer que Chrome ejecute la carga útil en el favicon.
Otra forma de hacer esto sería hacer que Chrome acepte un archivo SVG como favicon, y luego colocar el script dentro de una etiqueta foreignObject dentro de SVG. (Descargo de responsabilidad: no he intentado esto).

    
respondido por el S.L. Barth 07.05.2015 - 15:42
fuente
0

Redirección con etiquetas Javascript o META

... No puede enviar un código de estado 301 a través de Javascript o etiquetas META. Dado que el código de estado HTTP de la página seguirá siendo 200 OK ...

... Otra desventaja es que algunos navegadores deshabilitan la actualización de Javascript o META. Por lo tanto, uno debe incluir un enlace a la página de destino en el cuerpo de la página ...

redirección de URL

... Es posible que se prefieran los encabezados HTTP o la etiqueta meta de actualización por razones de seguridad y porque algunos navegadores y muchos rastreadores web no ejecutarán JavaScript.

Estos enlaces dicen que muchos navegadores no ejecutan javascript ni etiquetas META en la redirección (301)

    
respondido por el Ali 07.05.2015 - 15:48
fuente

Lea otras preguntas en las etiquetas

¿Se permiten RADIUS y TACACS + alguna vez en escenarios compatibles con FIPS 140-2? ¿Es SpiderOak realmente "conocimiento cero"?