freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

愤怒的白帽子:被Facebook拒绝支付赏金后,白帽子编写大规模攻击工具 金币
2014-08-04 13:51:39



前两天,国外媒体报道了最流行的图像和视频分享服务Instagram手机应用的重大安全问题,攻击者可以劫持用户帐户,可以获得私人照片,删除受害者的照片,编辑评论,或者发布新照片。

昨天,在伦敦开发者史蒂夫·格雷厄姆(Stevie Graham)发布了一款名为“Instasheep”的工具,这个名字来自2010年一款叫做“Firesheep”的Firefox拓展,它可以用来窃取Facebook等社交网站的账号信息,该插件能在用于对与攻击者同处一个网络下的会话劫持。

格雷厄姆几年前发现了Instagram的问题,他吃惊地发现Facebook也没有修复该问题。他声称Facebook拒绝为这个影响iOS应用的漏洞向他支付赏金,而后他发布了该工具。

格雷厄姆在其推特上说“我被拒绝支付赏金。那么我的下一步是编写能够大规模劫持账号的自动化工具”他写道,“这是个相当严重的漏洞,请Facebook修复。”

有报道称社交网络巨头Facebook已知晓有关Instagram iOS应用的问题,并正在努力修复,Facebook打算使用HTTPS协议,但仍不清楚要花多久修复漏洞。

漏洞可能使iOS应用的用户受到中间人(MITM)攻击,因为Instagram会发送一些含有会话cookie的未加密数据。然后,攻击者可以在其他系统上/浏览器上利用这些截获的HTTP会话cookie劫持受害者的Instagram帐户。

“我不认为这个漏洞的使用障碍很高。只需要足够水平的技术人员就能够利用,漏洞利用相当简单,甚至是脚本小子也可以使用。此刻潘多拉的盒子已经被炸得四分五裂!”格雷厄姆在YCombinator写道。

Instagram联合创始人Mike Krieger(迈克·克里格)已经通过相同的YCombinator网站回应了这个问题,并表示,“我们一直在稳步增加对于HTTPS协议的支持,例如我们在2013年底推出的Instagram Direct,全部使用HTTPS进行会话。对于应用程序,尤其是对于延迟敏感的main feed功能和其它重要的浏览体验,我们正在积极努力推出了HTTPS,同时要确保不会损失性能,稳定性和用户体验。这是我们希望能够尽快完成的一个项目,我们将在开发博客上分享我们的经验,以便让其他公司借鉴一下。”

附Mac OS X下的工具使用步骤:

接入一个开放的或者WEP加密的Wifi

sudo tcpdump -In -i en0 -s 2048 -A dst i.instagram.com

等待同一网络的用户使用Instagram iOS应用

从输出的结果中提取cookie request header,利用cookie参数调用API,使用哪怕是https的功能,例子中使用的是Direct Message功能。

curl -H 'User-Agent: Instagram 6.0.4 (iPhone6,2; iPhone OS 7_1_1; en_GB; en-GB) AppleWebKit/420+' \
 -H 'Cookie: sessionid=REDACTED' \ 
 https://i.instagram.com/api/v1/direct_share/inbox/`

[Via THN & stevegraham github,JohnChu 翻译整理]

本文作者:, 转载请注明来自FreeBuf.COM

被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑