5.2 Firefox 2.0 密码管理器缺陷(JavaScript逆向跨站脚本)
Firefox的密码管理器(版本2.0)在2006年11月被发现存在软件缺陷,如果用户点击了一个恶意链接,浏览器将发送用户的验证信息(从当前访问的站点)到攻击者指定的任何URL。 [注释 22] 该缺陷被成为逆向跨站请求(RCSR),因为浏览器事实上并不控制通过网页表单发送验证信息的URL。此攻击需要用户访问过站点并使用密码管理器保存了验证信息。这一安全缺陷是CIS[注释 23]在MySpace.com上发现的,允许用户提交纯HTML信息的网络社交站点最容易受到此类缺陷影响。
RCSR比在5.1节中讲述的攻击更有效,因为XMLHttpRequest不接受当前活动区域以外的请求,而且,链接(允许提交表单)可以在表单内显示为内嵌式视频、网络广播或者是游戏,这使得此类攻击更加隐蔽。
5.3 显示Internet Explorer密码
5.3.1 密码显示
现在有许多公司的商业软件能从IE的自动完成中找回密码,ElcomSoft在网站上声称,他们的高级Internet Explorer密码找回(AIEPR)工具[注释 24]能找回IE3到IE6的任何自动完成信息,只要用户已经登陆了。像PassView [注释 25]这样的免费软件, 也能找回IE4到IE6的密码,而IEPassView则在IE7[注释 26]下同样有效。
5.3.2 恶意软件
Internet Explorer通常是恶意软件的最佳目标。本文涉及到的安全漏洞可以被恶意软件用于截取自动完成信息,并发送给攻击者。BackDoor-AXJ [注释 27]木马程序在目标机器上存储自动完成和其它信息,然后把这些信息发送给控制者。Srv.SSA-KeyLogger [注释 28]是安装在Internet Explorer上安装的键盘记录后门,后门程序同样可以获取自动完成信息、偷窃数据并通过HTTP GET方式发送给控制者。
5.4 显示Firefox密码
5.4.1 轻松获取明文密码
不熟悉Firefox密码管理器的用户,可以从以下位置查看明文密码:
Windows XP:
Firefox 1.5
工具 | 选项 | 机密 | 密码 | 查看已保存的密码 | 查看密码 | 显示密码
Firefox 2.0
工具 | 选项 | 安全 | 显示密码 | 显示密码
5.4.2 主密码攻击
最近出现了攻击Firefox主密码的工具,下面是当前可用的方式:
- 暴力破解
- 字典攻击
- 混合攻击
Firemaster是一款基于Firefox主密码设计的密码破解工具[注释 29],使用C++编写,最初由N. Y. Talekar在2006年1月发布,现在源代码已经公开在了网上。其它用C编写的具有脚本功能的工具也已经开发了出来,[注释 30]开发这些工具的结果是弱口令(小写单词)能在百万分之一秒内被破解,并且,没有密码则会直接显示密码数据库,这在本质上与Firefox的显示密码功能是一样的。
5.4.3 URL多重用户名/密码登录
Firefox有一个非常有趣的功能,允许为同一个网站设置多重用户记录。比如说我们虚构两个人物,Alice和Bob,他们在同一个Windows XP帐户下实用Firefox密码管理器,但是再同一个网站(www.pncbank.com)上有不同的银行帐户,密码管理器允许使用多组用户名和密码,并会在输入不同的用户名时自动填充对应的密码。这一功能提供了查看别人的验证信息的方法,如下所示:
- URL
bob
k9x763s
alice
n63ld23f
基于安全模型,不会有两个人使用相同的计算机帐户,但这一设定仍然是不安全的,因为不是所有的公司都有好的安全习惯。另外,如果在指定网站上输入了错误的用户名和密码(比如为两个不同的银行网站选择了错误登录信息),这些信息会被存储(即使没有使用),并有可能在用户不知情的情况下被窃取。
5.4.4 拒绝服务式攻击
任何能访问本地用户配置的人或程序都可以破坏密码管理器的完整性和有效性,如果重要文件(keyN.db, certN.db, secmod.db, signons.txt)被删除或被修改了,那么将无法找回任何用户名和密码。这些文件中最重要的是KeyN.db与signons.txt,分别保存有密匙和加密数据。
为了保证密码数据库的完整性和有效性,需要将keyN.db, certN.db, secmod.db, 和 signons.txt 复制到安全位置,即使这些文件被修改或删除了,密码管理器也不能用了,还可以用这些文件来恢复密码数据库。
第4页继续...
[注释 22] "Firefox Password Manager Information Disclosure." http://secunia.com/advisories/23046
[注释 23] "CIS Finds Flaws in Firefox v2 Password Manager." http://www.info-svc.com/news/11-21-2006/
[注释 24] AIEPR, http://www.elcomsoft.com
[注释 25] N. Sofer, "Protected Storage PassView," http://www.nirsoft.net/utils/pspv.html
[注释 26] N. Sofer, "IE PassView v.1.00," http://www.nirsoft.net/utils/internet_explorer_password.html
[注释 27] BackDoor-AXJ, McAfee, June 2004. http://vil.nai.com/vil/content/v_100488.htm
[注释 28] Srv.SSA-KeyLogger, Counter Spy Research Center, http://research.sunbelt-software.com/Advisory.cfm
[注释 29] N. Y. Talekar, Firemaster: firefox master password cracker, 2006. http://nagmatrix.50webs.com/article_firemaster.html
[注释 30] "Mozilla saved passwords recovery (export) utility," 2005, http://wejn.org/stuff/moz-export.html, (Accessed March 2006).