Dicuri untuk enam karakter. Tautan pemendek menyerah pada kekerasan

Penyingkat tautan seperti bit.ly , goo.gl dan lainnya menghasilkan tautan dengan token 5, 6 atau 7 karakter. Ternyata, ini terlalu sedikit, sehingga seluruh ruang alamat bisa menjadi brute force. Profesor Vitaliy Shmatikov dari Cornell University of Technology bersama seorang rekan, peneliti independen Martin Georgiev, memindai ruang alamat tautan yang diperpendek - dan menemukan banyak dokumen di cloud hosting .

Tampaknya ini? Tetapi ternyata struktur URL panjang yang dapat diprediksi terkadang memungkinkan satu dokumen mengakses dokumen lain di hosting atau, secara umum, ke semua dokumen !

Secara khusus, hingga Maret 2016, struktur URL yang panjang di-host oleh Microsoft OneDrive (dijelaskan di bawah), tetapi prinsip serupa mungkin ada pada layanan lain.

Penyingkat tautan dibangun ke dalam OneDrive dan layanan cloud lainnya, sehingga alamat pendek secara otomatis ditetapkan untuk setiap dokumen, bahkan dengan informasi sensitif. Nah, jika seseorang mengambil alamat ini, maka dia bisa mendapatkan akses ke akun, mengedit dokumen, mengimplementasikan pengunduh Trojan, dll.

Para peneliti menerbitkan hasil kerja 18 bulan dalam sebuah laporan .

Seperti yang dapat dilihat dari laporan, penulis fokus pada dua singkatan yang dibangun ke OneDrive dan Google Maps.

Onedrive

Di sini, alamat dokumen dan folder dikodekan dalam alamat domain 1drv.ms , disajikan Operator Bitly dan ditugaskan cara yang sama, seperti pada yang bit.ly . Dengan kata lain, pemindaian token bit.ly apa pun akan secara otomatis menemukan alamat 1drv.ms juga . Selama perayapan uji 100.000.000 URL di domain bit.ly dengan token 6-karakter yang dipilih secara acak, 42% adalah URL aktif. Dari jumlah tersebut, 19.524 mengarah ke dokumen dan folder di hosting OneDrive / SkyDrive. Tapi itu belum semuanya.

Ternyata, alamat OneDrive memiliki struktur yang dapat diprediksi. Mengetahui URL lengkap dari satu dokumen, Anda dapat membuat URL root dan secara otomatis pergi ke akun Anda, buka semua file dan folder.

Misalnya, Anda menemukan kekerasan URL http://1drv.ms/1xNOWV7 , yang resolve ke https://onedrive.live.com/?cid=485bef1a80539148&id=485BEF1A80539148!115&ithint=folder,xlsx&authkey=!AOOp2TqTTSMT5q4 .

Kami mengekstrak parameter cid dan authkey dari URL yang panjang , dengan itu kami membuat URL root untuk akun: https://onedrive.live.com/?cid=485bef1a80539148&authkey=!AOOp2TqTTSMT5q4 .

Untuk mengakses dokumen tertentu, Anda perlu menemukan elemen dengan atribut href di kode sumber halaman di hosting awan yang berisi & app = , & v = , /download.aspx? atau / survei?(metode khusus ini tampaknya tidak berfungsi sejak Maret 2016).



Untuk mencari folder lain, Anda perlu mencari tautan yang dimulai dengan onedrive.live.com dan berisi akun cid .

Dengan cara ini, penulis penelitian mengungkapkan 227.276 dokumen lain di hosting OneDrive.

Biasanya, sekitar 7% dari folder yang ditemukan terbuka untuk direkam. Tidak perlu menjelaskan apa artinya ini, mengingat betapa mudahnya untuk mem-bypass antivirus OneDrive bawaan.

Google maps

Hingga September 2015, alamat goo.gl/maps memiliki token 5 karakter. Memindai sampel acak mengungkapkan 23.965.718 tautan aktif, yang 10% di antaranya adalah peta dengan petunjuk arah mengemudi, termasuk ke rumah sakit untuk pasien dengan kanker dan gangguan mental, pusat alkoholik dan pecandu narkoba, pusat aborsi, dan penjara. Secara umum, informasi sensitif. Misalnya, rute dari pusat aborsi ke alamat tertentu, pada prinsipnya, menyarankan tempat tinggal seseorang. Jika ini adalah rumah tempat seorang wanita tinggal, maka anggaplah kepribadian. Kemudian, buat peta dengan semua alamat tempat alamat ini adalah titik awal atau akhir gerakan. Ini kartu untuk satu orang.

Bagaimana perusahaan bereaksi

Setelah dua bulan korespondensi, perwakilan Microsoft mengatakan mereka tidak menganggap token bruteforce sebagai kerentanan. Namun, beberapa metode yang dijelaskan di atas telah berhenti berfungsi. Ketika perwakilan Microsoft dihubungi lagi, mereka menyangkal bahwa perubahan yang dilakukan relevan dengan laporan ini.

Google segera bereaksi, beralih ke token 11-12 karakter dan membatasi kemampuan untuk merayapi URL.

Source: https://habr.com/ru/post/id393079/