[Web] Session Hijacking achter NAT

voodooless schreef op maandag 08 oktober 2007 @ 22:22:
Kijk, als je al zover bent dat je een session ID kunt onderscheppen, dan kun je ook een login en wachtwoord onderscheppen, effectief maakt dat het hele session ID verhaal oninteressant. Waarom is https geen optie i.c.m de al genoemde technieken? Iedere browser heeft daar ondersteuning voor.

wboevink schreef op maandag 08 oktober 2007 @ 22:36:
je kunt de client zijn computer ip opvragen, als de client dat niet blocked.
Vervolgens encrypt je zijn ip en geef je deze mee.
Daarna kun je altijd zijn ip met de gedecrypte ip vergelijken. Aangenomen dat 1 client tijdens een browser sessie altijd hetzelfde ip heeft.
Anders zou je de sessie op zijn pc ge-hashed met als salt zijn ip-nummer in een cookie kunnen opslaan en die steeds vergelijken. Maar dan gaat het idee van een cookieless session een beetje verloren :-)

wboevink schreef op maandag 08 oktober 2007 @ 22:42:
[...]


Gehashde wachtwoorden zijn vrij eenvoudig en redelijk snel te hacken met een hashing dictionary.
En aangezien de hash functie in een javascript staat die voor iedereen te lezen is valt dat ook simpel te hacken.

wboevink schreef op maandag 08 oktober 2007 @ 22:45:
[...]


Dat zal niet uitmaken, omdat ze beiden een eigen http sessie hebben met je server krijgen ze ook beiden een unieke sessie id.

Priet schreef op maandag 08 oktober 2007 @ 22:46:
[...]

Even een domme vraag: waarom zou je met Javascript het wachtwoord gaan hashen (challenge-response system) als je de inloggegevens toch al niet kunt afluisteren omdat je die pagina via HTTPS serveert

wboevink schreef op maandag 08 oktober 2007 @ 22:49:
[...]


Het is geen challenge-response want het wachtwoord (gehashed?) viel plain text te sniffen.
Euh, duh......plain text word door HTTPS ge-encrypt

voodooless schreef op maandag 08 oktober 2007 @ 22:53:
De discussie gaat hoofdzakelijk over het detecteren van losse clients achter en NAT netwerk. Als je dat kan, dan kun je al een heleboel dingen tegengaan natuurlijk.

Er zijn verschillende technieken om dingen te detecteren, probleem is waarschijnlijk dat php daar niet zo makkelijk bij zal kunnen.

[ Voor 18% gewijzigd door eghie op 08-10-2007 23:12 ]

Cartman! schreef op maandag 08 oktober 2007 @ 23:31:
[...]
...knip...

edit: dit is nog wel een interessant stukje waar je denk ik wat aan hebt: http://en.wikipedia.org/wiki/Session_fixation

voodooless schreef op maandag 08 oktober 2007 @ 23:47:
Wat misschien ook nog wel interessant is om het geintje met het inloggen iedere keer weer opnieuw te doen als je informatie gaat wijzigen, zoals het submiten van forms. Nadeel is natuurlijk dat je steeds weer het wachtwoord zult moeten invullen

Cartman! schreef op dinsdag 09 oktober 2007 @ 08:26:
Excuus eghie, niet goed gelezen blijkbaar...

Ik denk dat je je niet heel druk moet maken om sessies jatten achter een NAT. Iemand die dit kan kapen heeft dus toegang tot het netwerk achter het NAT kan net zo goed het wachtwoord vragen of keyloggen. Zou wel cool zijn als er iemand met een ontzettend goed idee komt naast HTTPS natuurlijk

voodooless schreef op dinsdag 09 oktober 2007 @ 10:12:
Ik heb misschien een ideetje... Je zegt dat je de login via HTTPS doet. Als je nu een frameset gebruikt, en die frameset gebruikt om een key op te slaan die je bij het inloggen meegeeft. Deze key zit dus niet in een cookie, en alleen de browser weet deze.

Nu kun je bij iedere nieuw request, het challenge response geintje weer uithalen. Dit kun je doen door na het laden met javascript een hash te maken van de challenge + key, en deze in een cookie te zetten, welke bij de volgende request weer mee wordt verzonden naar de webserver. Daar kun je dan checken of alles nog koek en ei is

Chesta schreef op dinsdag 09 oktober 2007 @ 10:21:
Sessions zijn volgens mij altijd wel te bruteforcen. Om dit moeilijker te maken zou je de sessie kunnen beveiligen met een sessie-wachtwoord die je gewoon in een extra cookie opslaat.

voodooless schreef op dinsdag 09 oktober 2007 @ 10:22:
Ik vind het wel interessant allemaal aangezien wij ook met bepaalde gegevens zitten die strikt vertrouwelijk zijn, en toegankelijk via internet (ritadministratie, realtime locatie van objecten, dat soort shit). Wij gebruiken enkel en alleen HTTPS, maar eigenlijk verder niet echt actief andere maatregelen tegen het hijacken van verbindingen. Bovenstaande is helaas voor ons geen optie omdat we ook met applets en andere zooi zitten waardoor het nooit zou werken. HTTPS kan hopelijk afdoende bescherming bieden. Maar de challenge response heb ik vanmorgen ook maar effe gefixed voor het inloggen, ben nu even aan het kijken of ik de session kan fixen aan een IP (helaas geen NAT) en userAgent. Ik ga ook eens kijken of ik nog wat kan doen met ssl session ID's...

Maar toch: het forceren naar HTTPS lost eigenlijk een berg van je problemen op en maakt het leven een stuk makkelijker.

[ Voor 56% gewijzigd door eghie op 09-10-2007 11:01 ]

rwb schreef op dinsdag 09 oktober 2007 @ 12:40:
[...]

Tja servercertificaten zorgen er ieder geval voor dat het certificaat klopt met de hostname die in je browser staat. Tja als je gebruiker niet op de hostnaam let en allemaal spyware heeft dan is er weinig wat je nog kunt doen.

Dingen als spywaren enzo is toch moeilijk tegen te gaan. Als ik als spyware jouw loginsysteem zou willen kraken, dan maak ik gewoon een IE plugin die meteen uit de textboxen de username/wachtwoord uitleest.
Dan kun je nog zo veel daar tegen beveiligen maar als iemand al toegang tot de computer heeft valt er weinig meer tegen te doen.

therat10430 schreef op dinsdag 09 oktober 2007 @ 18:06:
Edit: maakt tekst iets vriendelijker/leesbaarder

Waarom cryp je het wachtwoord uberhaupt met javascript, wat direct in de webpagina staat en wat iedereen kan lezen? Of zie ik dit verkeerd?

Kies liever voor een soort van serverside programmering (.Net?) al de code wordt dan uitgevoerd door de codebackend op de server, en de site geeft alleen maar variabelen heen en weer.(doe je al met PHP, maar volgens mij is dat net iets minder server side, en nogsteeds dat wachtwoord verhaal)

(anti-rant! )
Oh btw: JA het is MS software, en JA firefox, opera en alle andere webbrowser kunnen ook overweg met .Net, het werkt via postbacks, de server draait wel windows, maar de browser heeft geen idee dat er windows (C# vaak) codes op de achtergrond gedraait worden.

(Btw dit is met mijn beperkte kennis van Visual Web Developer.NET geschreven, en zonder verder onderbouwde kennis, en zo ver ik het verhaal snap, zo werkt het niet misschien precies, en misschien wordt veel Javascript code ook niet direct in de website gezet maar dat idee heb ik erbij, en als dat het geval is, en je wilt het echt veilig dan zou ik dit niet gebruiken)

(dus ja eigenlijk schreeuw ik wat en heb ik de klepel in mijn hand en ben ik de klok kwijt

therat10430 schreef op dinsdag 09 oktober 2007 @ 21:13:
[...]


Excusez moi, ik dacht dat je met een in de html zelf gestopte javascript code het wachtwoord encrypte:

(pseudo code zoals ik dacht dat jij dacht)

HTML:

1 2 3 4 5 6 7

<body> <scriptcode =javascript> checkwachtwoord() encryptwachtwoord met hash #$*@*%@* verstuurwachtwoord </script> </body>

* eghie legt de klepel voorzichtig neer

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

<html>
<head>
<title>blub</title>
<script type="text/javascript">
   function login()
   {
       var hashedpass = sha1(document.getElementById('password').value + document.getElementById('challenge').value);

       document.getElementById('password').value = hashedpass;

       document.form[0].submit();
   }
</script>
<body>
<form method="post">
<input type="text" name="username" />
<input type="password" name="password" id="password" />
<input type="hidden" name="challenge"  id="challenge" value="<?=$_SESSION["challenge"]; ?>" />
<input type="button" name="Login"  id="submit" onclick="login()" />
</form>
</body>
</html>

[ Voor 5% gewijzigd door eghie op 09-10-2007 21:25 ]

Gomez12 schreef op dinsdag 09 oktober 2007 @ 22:46:
Met een java-applet kan je toch wel het echte ip-adres van de client achterhalen. Ook achter NAT.

Kan je dit niet onderdeel laten uitmaken van je challenge respons? Is iets wat echt uniek zou zijn per client ( binnen het NAT )

FragFrog schreef op woensdag 10 oktober 2007 @ 22:29:
...

Ik krijg een beetje het idee alsof men een kasteel probeert te bouwen met fortificaties, slotgracht, vuurspuwende draken op't dak () etcetera maar vergeet dat er ook een achterdeur is Je grootste gevaar ligt bijna altijd bij 'domme' users die op duizend malifide sites hetzelfde wachtwoord gebruiken, post-IT's aan hun monitor hangen, ingelogde computers onbewaakt achterlaten, etc etc.

Confusion schreef op donderdag 11 oktober 2007 @ 11:09:
...

En stel dat morgen de maan omlaag stort, dan zijn we allemaal dood. Als iemand echt ongeoorloofde toegang tot de applicatie wil, dan krijgt hij dat wel. Client side certificates kan je ook stelen. Desnoods steel je de hele computer en spoof je het IP. Zonder procedure waarmee dat certificaat onmiddellijk ingetrokken wordt, voorkom je dat niet. En dat soort procedures gaan falen, tenzij je in een zwaar-beveiligde omgeving zit, waar alle gebruikers er mee om kunnen gaan. Maar als dat het geval is, dan kan je dat certificaat ook als basis voor een VPN verbinding gebruiken.

Iemand heeft een sessie en zal zichzelf moeten identificeren, wil de juiste sessie aan het request gekoppeld worden. Als je de identificatie-data over HTTP verstuurd, dan is het te sniffen. Als je de identificatie-data over HTTPS verstuurd, dan is het niet te sniffen, maar blijft een man-in-the-middle attack mogelijk. Dat is gewoon het einde van het verhaal: als je iets anders wilt, dan is HTTP niet het geschikte protocol om deze data te verschepen.

Als het belangrijk genoeg is, dan moet je alle activiteiten loggen zodat je achteraf in ieder geval kan traceren wat er gebeurd is en melding laten maken van verdachte of zeldzame activiteiten.

De vraag is: van wie wil je voorkomen dat ze ongeoorloofde toegang verwerven? Security for securities sake is zinloos. Heb je echt betere beveiliging dan pakweg Amazon.com nodig?

voodooless schreef op donderdag 11 oktober 2007 @ 13:15:
De truck is natuurlijk ook dat je niet al te voor de hand liggende proporties gebruikt. Je zou zelfs naar plugins kunnen scannen bijvoorbeeld, of screen reso, en dat soort zaken. risoco is natuurlijk dat de gebruiker opnieuw moet inloggen als er wijzigingen zijn, maar goed, dat is dan jammer

Muthas schreef op donderdag 11 oktober 2007 @ 15:08:
[...]


Het gaat erom dat als de NAT op een netwerk de X_FORWARED_FOR blokkeerd en stel er staan allemaal dezelfde computers er absoluut geen verschil in identificatie van de gebruikers vanaf dat netwerk is en dus simpel de cookie jatten genoeg zou moeten zijn.

voodooless schreef op donderdag 11 oktober 2007 @ 15:23:
Ik dacht zelf meer aan iets als dit als identifier:

Mozilla;Netscape;5.0 (Windows; en-US);true;Win32;Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7;Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.7) Gecko/20070914 Firefox/2.0.0.7;true;1280x1024@32bits;localhost/127.0.0.1;Java(TM) Platform SE 6 U2,npoji610.dll:application/x-java-vm,Java, ,false;Java(TM) Platform SE 6 U2,npjava13.dll:application/x-java-applet;version=1.3.1,Java Applet,,falseapplication/x-java-bean;version=1.3.1,JavaBeans,,falseapplication/x-java-applet;version=1.4,Java Applet,,falseapplication/x-java-bean;version=1.4,JavaBeans,,falseapplication/x-java-applet;version=1.4.1,Java Applet,,falseapplication/x-java-bean;version=1.4.1,JavaBeans,,false;Shockwave Flash,NPSWF32.dll:application/x-shockwave-flash,Adobe Flash movie,swf,falseapplication/futuresplash,FutureSplash movie,spl,false;QuickTime Plug-in 7.2,npqtplugin.dll:application/sdp,SDP stream descriptor,sdp,falseapplication/x-sdp,SDP stream descriptor,sdp,falseapplication/x-rtsp,RTSP stream descriptor,rtsp,rts,falsevideo/quicktime,QuickTime Movie,mov,qt,mqv,falsevideo/flc,AutoDesk Animator (FLC),flc,fli,cel,falseaudio/x-wav,WAVE audio,wav,bwf,falseaudio/wav,WAVE audio,wav,bwf,false;QuickTime Plug-in 7.2,npqtplugin7.dll:image/tiff,TIFF image,tif,tiff,falseimage/x-tiff,TIFF image,tif,tiff,falseimage/jp2,JPEG2000 image,jp2,falseimage/jpeg2000,JPEG2000 image,jp2,falseimage/jpeg2000-image,JPEG2000 image,jp2,falseimage/x-jpeg2000-image,JPEG2000 image,jp2,false;QuickTime Plug-in 7.2,npqtplugin6.dll:video/x-m4v,Video (protected),m4v,falseimage/x-macpaint,MacPaint image,pntg,pnt,mac,falseimage/pict,PICT image,pict,pic,pct,falseimage/x-pict,PICT image,pict,pic,pct,falseimage/png,PNG image,png,falseimage/x-png,PNG image,png,falseimage/x-quicktime,QuickTime image,qtif,qti,falseimage/x-sgi,SGI image,sgi,rgb,falseimage/x-targa,TGA image,targa,tga,false;QuickTime Plug-in 7.2,npqtplugin5.dll:audio/3gpp,3GPP media,3gp,3gpp,falsevideo/3gpp2,3GPP2 media,3g2,3gp2,falseaudio/3gpp2,3GPP2 media,3g2,3gp2,falsevideo/sd-video,SD video,sdv,falseapplication/x-mpeg,AMC media,amc,falsevideo/mp4,MPEG-4 media,mp4,falseaudio/mp4,MPEG-4 media,mp4,falseaudio/x-m4a,AAC audio,m4a,falseaudio/x-m4p,AAC audio (protected),m4p,falseaudio/x-m4b,AAC audio book,m4b,false;QuickTime Plug-in 7.2,npqtplugin4.dll:video/mpeg,MPEG media,mpeg,mpg,m1s,m1v,m1a,m75,m15,mp2,mpm,mpv,mpa,falseaudio/mpeg,MPEG audio,mpeg,mpg,m1s,m1a,mp2,mpm,mpa,m2a,falseaudio/x-mpeg,MPEG audio,mpeg,mpg,m1s,m1a,mp2,mpm,mpa,m2a,falsevideo/3gpp,3GPP media,3gp,3gpp,false;QuickTime Plug-in 7.2,npqtplugin3.dll:audio/x-gsm,GSM audio,gsm,falseaudio/AMR,AMR audio,AMR,falseaudio/aac,AAC audio,aac,adts,falseaudio/x-aac,AAC audio,aac,adts,falseaudio/x-caf,CAF audio,caf,falsevideo/x-mpeg,MPEG media,mpeg,mpg,m1s,m1v,m1a,m75,m15,mp2,mpm,mpv,mpa,false;QuickTime Plug-in 7.2,npqtplugin2.dll:audio/aiff,AIFF audio,aiff,aif,aifc,cdda,falseaudio/x-aiff,AIFF audio,aiff,aif,aifc,cdda,falseaudio/basic,uLaw/AU audio,au,snd,ulw,falseaudio/mid,MIDI,mid,midi,smf,kar,falseaudio/x-midi,MIDI,mid,midi,smf,kar,falseaudio/midi,MIDI,mid,midi,smf,kar,falseaudio/vnd.qcelp,QUALCOMM PureVoice audio,qcp,false;Mozilla Default Plug-in,npnul32.dll:*,Mozilla Default Plug-in,*,false;Adobe Acrobat,nppdf32.dll:application/pdf,Acrobat Portable Document Format,pdf,falseapplication/vnd.adobe.x-mars,Acrobat Portable XML Document Format,mars,falseapplication/vnd.fdf,Acrobat Forms Data Format,fdf,falseapplication/vnd.adobe.xfdf,XML Version of Acrobat Forms Data Format,xfdf,falseapplication/vnd.adobe.xdp+xml, Acrobat XML Data Package,xdp,falseapplication/vnd.adobe.xfd+xml,Adobe FormFlow99 Data File,xfd,false;WindizUpdate Plug-in,npupd62.dll:application/x-windizupdate,WindizUpdate data,u62,false;<a href="http://www.cult3d.com">Cult3D Player</a> v5.3.0.154,NPMCult3DP.dll:application/x-cult3d-object,Cult3D,co,false;Microsoft Office 2003,NPOFFICE.DLL:application/x-msoffice,11.0.5510,*,false;iTunes Application Detector,npitunes.dll:application/itunes-plugin,This plug-in detects the presence of iTunes when opening iTunes Store URLs in a web page with Firefox.,,false;Java(TM) Platform SE 6 U2,npjava14.dll:application/x-java-applet;version=1.4.2,Java Applet,,falseapplication/x-java-bean;version=1.4.2,JavaBeans,,falseapplication/x-java-applet;version=1.5,Java Applet,,falseapplication/x-java-bean;version=1.5,JavaBeans,,falseapplication/x-java-applet;version=1.6,,,falseapplication/x-java-bean;version=1.6,,,false;Java(TM) Platform SE 6 U2,npjava32.dll:application/x-java-applet;version=1.3,Java Applet,,falseapplication/x-java-bean;version=1.3,JavaBeans,,falseapplication/x-java-applet;version=1.2.2,Java Applet,,falseapplication/x-java-bean;version=1.2.2,JavaBeans,,falseapplication/x-java-applet;version=1.2.1,Java Applet,,falseapplication/x-java-bean;version=1.2.1,JavaBeans,,false;Java(TM) Platform SE 6 U2,npjava11.dll:application/x-java-applet;version=1.1.1,Java Applet,,falseapplication/x-java-bean;version=1.1.1,JavaBeans,,falseapplication/x-java-applet;version=1.1,Java Applet,,falseapplication/x-java-bean;version=1.1,JavaBeans,,falseapplication/x-java-applet,Java Applet,,falseapplication/x-java-bean,JavaBeans,,false;Java(TM) Platform SE 6 U2,npjava12.dll:application/x-java-applet;version=1.2,Java Applet,,falseapplication/x-java-bean;version=1.2,JavaBeans,,falseapplication/x-java-applet;version=1.1.3,Java Applet,,falseapplication/x-java-bean;version=1.1.3,JavaBeans,,falseapplication/x-java-applet;version=1.1.2,Java Applet,,falseapplication/x-java-bean;version=1.1.2,JavaBeans,,false;Java(TM) Platform SE 6 U2,npjpi160_02.dll:application/x-java-applet;jpi-version=1.6.0_02,Java Applet,,falseapplication/x-java-bean;jpi-version=1.6.0_02,JavaBeans,,false;Windows Media Player Plug-in Dynamic Link Library,npdsplay.dll:application/asx,Media Files,*,falsevideo/x-ms-asf-plugin,Media Files,*,falseapplication/x-mplayer2,Media Files,*,falsevideo/x-ms-asf,Media Files,asf,asx,*,falsevideo/x-ms-wm,Media Files,wm,*,falseaudio/x-ms-wma,Media Files,wma,*,falseaudio/x-ms-wax,Media Files,wax,*,falsevideo/x-ms-wmv,Media Files,wmv,*,falsevideo/x-ms-wvx,Media Files,wvx,*,false;Microsoft® DRM,npdrmv2.dll:application/x-drm-v2,Network Interface Plugin,nip,false;Microsoft® DRM,npwmsdrm.dll:application/x-drm,Network Interface Plugin,nip,false

Dan een sha256 eroverheen als hash, en dat geef ik bij het inloggen aan de webserver. Als ik dan met mijn logincookie aan het inloggen ga, vraag ik al deze info weer op, maar dan met een challenge erbij. Je moet eigenlijk wel de initieel info (bij het inloggen) encrypted overzenden, misschien met TEA of AES.

voodooless schreef op maandag 15 oktober 2007 @ 16:45:
Om hier nog even op terug te komen. Ik heb het geïmplementeerd, en het lijkt erop dat het prima werkt. Voor de AES encryptie heb ik uiteindelijk een andere variant gekozen. Deze werkte wat makkelijker met de backend AES samen

Wat ik dus nu doe:
1. bij inloggen verstuur ik een SHA256 van de berg browserdata encrypted met AES, met een MD5 van het loginwachtwoord als key (MD5 levert makkelijk een 128bit key op) mee. Natuurlijk gaat het loginwachtwoord met SHA256 hash en challenge, en dus niet clear text. De decrypted hash sla ik op in de database samen met het loginID cookie wat de browser krijgt.
2. Bij een nieuwe login zonder actieve sessie check ik op het loginID cookie, en redirect ik naar een pagina, met een form en een hidden field. Hierin verzamel ik weer de SHA256 van de browserdata , en stuur deze SHA256 hashed en challenged weer terug. Serverside check ik dan of alles in order is, en zoja, ben je ingelogd, zoniet, moet je je username/password opgeven (zie 1.)

Zo gaat de data waar je effectief op checked nooit cleartext over de lijn. Je hebt dus niets aan enkel het loginID cookie. Zonder de hash van de browserdata kun je helemaal niets beginnen, en je zult dus al heel wat extra moeite moeten doen om deze data te achterhalen.

Ik moest heel wat in het backend framework aanpassen om dit een beetje netjes voor elkaar te krijgen, maar 't is gelukt. Komende dagen flink testen