在最近一次進行的Web應用程序滲透測試中,CertiK技術團隊發現了一個預料之外的嚴重漏洞。在獲得客戶的許可后,我們將此發現寫入本文以做分享,幫助相關開發人員未來規避同樣的錯誤。
目標Web應用程序是一個區塊鏈瀏覽器,它具備區塊信息查找、交易歷史記錄查找、部署的智能合約等功能。
該應用程序的前端是用React編寫的,React是一個Web框架,可以很好地預防XSS(跨站點腳本)和HTML注入等攻擊。
在實現方面,前端JavaScript定期從區塊鏈RPC API中獲取新的塊數據。因為區塊鏈是一個簡單的應用程序,沒有“傳統的”后端服務器,不涉及身份驗證和授權,也不需要處理大量的用戶輸入。因此一般來說,很難在區塊鏈瀏覽器應用程序中找到嚴重漏洞。
然而,在滲透測試期間,CertiK團隊發現了一些關于用于獲取塊數據的請求URL有些異常。該URL看起來像這樣:
https://cors.x.y/http://load-balancer.us-east-1.elb.amazonaws.com/blocks/270865
如果仔細觀察,就能發現這個完整的URL由兩個前后連接的URL組成。
“第二個”URL看起來像一個AWS負載均衡器的DNS名稱,那第一個指向的又是什么?
單獨訪問第一個URL”https://cors.x.y”后,它進入一個名為“CORS-anywhere”的開源工具的默認頁面。CertiK技術團隊發現該工具配置錯誤,從而能夠訪問敏感信息。
下文將進一步解釋背景,并敘述CertiK技術團隊的發現及進行的其他研究。
在了解調查結果之前,先來了解一下CORS(跨源資源共享)。如果你有Web開發的經驗,應該無數次遇到這種bug:
首發 | 嘉楠耘智宣布與Northern Data在AI、區塊鏈等高性能計算領域達成戰略合作:據官方消息,2020年2月17日,嘉楠耘智宣布與區塊鏈解決方案及數據中心服務提供商Northern Data AG達成戰略合作。本次合作的內容涵蓋AI、區塊鏈及數據中心運維等高性能計算領域。
嘉楠耘智擁有豐富的高性能計算專用ASIC芯片研發經驗。Northern Data AG則專注于區塊鏈和數據中心等高性能計算基礎設施的建設。通過本次戰略合作,雙方將在AI、區塊鏈等新興領域進一步釋放增長潛能。[2020/2/19]
當一個Web應用從與該資源本身所在的服務器不同的域、協議或端口請求一個資源時,Web應用會發起一個跨域 HTTP 請求。如果響應中沒有正確的“access-control-allow-origin”標頭(引用),瀏覽器將阻止發起跨域請求的網頁,讀取跨域請求返回的內容。
在本文中,將不會太過深入地討論SOP(同源政策)和CORS(跨源資源共享)機制。簡而言之,SOP會阻止JavaScript讀取跨源請求中的響應,而CORS則是一種繞開由同源策略施加的限制的方法。
區塊鏈瀏覽器中的跨域請求來自何處?為什么我們需要處理它?
在這種情況下,上面提到的區塊鏈瀏覽器的后臺是Cosmos鏈。在Cosmos中,與節點進行交互的方式是利用JSON RPC API(https://cosmos.network/rpc) 。節點的主機名通常是由開發人員分配的,或者是AWS應用程序負載平衡器的DNS名稱。
如果區塊鏈瀏覽器的主機名是“explorer.mychain.com”,而RPC API的主機名是“api.mychain.com”。
那么當瀏覽器“explorer.mychain.com”向“api.mychain.com”發出請求時,它就會成為一個跨域請求。如果其中沒有正確的CORS標頭,瀏覽器就會阻止應用網站讀取RPC API的HTTP響應。
目前有很多可以解決跨源請求問題的方法,文章末尾處會給出解釋。
動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。
據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]
對于此區塊鏈瀏覽器,CertiK技術團隊發現它使用名為“CORS-anywhere”的類似代理工具作為處理CORS標頭的解決方案。因此團隊就此對“CORS-anywhere”展開研究。
CORS-anywhere是一個開源工具,為開發人員提供了一種處理跨域請求的方法。該項目存儲庫在Github上有3千多顆星,這足以證明它的受歡迎程度。
“CORS -Anywhere是一個NodeJS代理 ,它將CORS標頭添加到代理請求中”。
在著手研究這一工具時,Github(Github issue)上有一個關于CORS-anywhere的潛在安全風險的提問。就此問題,作者(Rob--W)給出了他的觀點。
簡而言之,他的回答列出了3個要點:
拒絕服務(Denial of Service)
IP地址欺騙
SSRF(服務器端請求偽造)
在對于Web應用程序滲透測試中,最有趣的是最后一個要點——服務器端請求偽造。
服務器端請求偽造(也稱為SSRF)是一個網絡安全漏洞,攻擊者可以利用該漏洞誘使服務器端應用程序向攻擊者選擇的任意域發出HTTP請求。在典型的SSRF示例中,攻擊者的操作可能導致服務器建立自身連接,或者在組織基礎結構中構建其他基于Web服務或外部第三方系統的連接。
如果想要了解更多關于SSRF的信息,可訪問參考文獻8。
首發 | 螞蟻礦機S17性能曝光 采用全新散熱技術及全局優化定制方案:金色財經訊,日前,比特大陸即將發布的螞蟻礦機S17性能曝光。據螞蟻礦機S17產品經理朋友圈稱,新品將采用新一代散熱技術及全局優化定制方案。據了解,該散熱技術可能是指芯片的封裝技術,也有可能是機器的散熱結構設計。至于S17產品“全局優化定制”方案未有細節透露。有聲音評價,這或許是為決戰豐水期做出的準備。[2019/3/22]
利用SSRF漏洞的常見方法
在內部網絡中執行端口掃描和網絡偵察
將請求發送到內部服務器的API
訪問內部網絡中的敏感資源
有了執行SSRF的方法,那么使用SSRF可以獲得什么呢?
AWSEC2云服務器有一個特殊端點:
http://169.254.169.254/latest/meta-data/
此端點只能在服務器內部訪問。這個端點包含AWS實例元數據,例如實例ID、主機名、公共/私有IP和AWS角色憑據。
用Google檢索時,http://169.254.169.254被Y Combinator定義為“EC2最危險的功能”。
如果EC2云服務器被分配了IAM(身份和訪問管理)角色,則對應的credentials將出現在元數據中。有了role credentials,就有了附加到EC2云服務器的IAM角色特權。
例如,IAM角色具有一個名為“aws-elasticbeanstalk-ec2-role”的角色。這是在使用Elastic Beanstalk服務啟動環境時創建的角色。根據AWS文檔,此角色具有對s3存儲庫的完全訪問權限。如果能從元數據端點獲取憑據,就可以訪問組織中的s3存儲庫。
首發 | 百度推動246家博物館線上藏品上鏈:金色財經訊,近日,百度超級鏈聯合百度百科,基于區塊鏈技術創建 “文博藝術鏈”,推動百科博物館計劃中的246家博物館線上藏品上鏈。基于“文博藝術鏈”,百度將與博物館共同推動線上藏品版權的確權與維護,同時探索線上藏品版權數字化交易方式,為合作的博物館提供更全面的服務和更多的權益。據介紹,此項目將分階段進行,一期將完成線上藏品的入鏈確權,為每一件藏品生產專屬的版權存證證書。讓每一名用戶可以在百度百科博物館計劃的PC端和WAP端的藏品頁查看證書。后續,百度還將推動AI與區塊鏈技術在文博領域的結合應用,用來保障上鏈數據與藏品相匹配,為后續進行藏品圖像版權數字化交易奠定基礎。[2019/1/30]
EC2云服務器metadata服務有兩種版本:IMDSv1(Instance Metadata Service Version 1);IMDSv2(Instance Metadata Service Version 1)。
對于IMDSv1,檢索實例元數據僅需要GET請求:
對于IMDSv2,在查詢任何元數據之前,必須創建定義會話持續時間的會話通證。
通過將PUT請求發送到“http://169.254.169.254/latest/api/token”來創建會話。然后就可以使用PUT請求返回的通證請求元數據。
針對于保護Web應用程序中的SSRF漏洞的保護,與在IMDSv1相比,IMDSv2提供了額外的安全措施。簡而言之,有幾個優點:
必須通過PUT請求獲取通證,而大多數SSRF攻擊僅支持GET和POST方法。
PUT請求包含一個HTTP標頭“X-aws-ec2-metadata-token-ttl-seconds”。在SSRF攻擊中,攻擊者通常無法在請求中插入其他HTTP標頭。
公告 | 火幣全球站6月29日16:00全球首發 Project PAI:火幣全球站定于新加坡時間6月29日16:00 Project PAI (PAI) 充值業務。7月2日16:00在創新區開放PAI/BTC, PAI/ETH交易。7月6日16:00開放 PAI提現業務。[2018/6/29]
更多有關IMDSv1和IMDSv2區別的信息,可訪問AWS security blog(參考文獻3)。
如上所述,CORS-anywhere可被用于執行SSRF攻擊,并且被部署在EC2云服務器上,是時候對此進行利用了。
CertiK技術團隊使用Elastic Beanstalk啟動一個EC2云服務器。為了方便演示假設訪問EC2云服務器上部署的cors-anywhere的URL是http://cors.x.y:
針對IMDSv1的利用:
針對IMDSv1的十分簡單直接。CertiK技術團隊向部署CORS-anywhere的服務器發出GET請求,去獲取附加了IAM角色的AWS憑證。
針對IMDSv2的利用:
可以使用這些證書來獲得對S3儲存庫和Cloudwatch日志的完全(讀+寫)訪問權限。
由于“CORS-wherewhere”的流行和AWS云的大量使用。究竟有多少EC2云服務器遭受“CORS-wherewhere”造成的SSRF漏洞?
默認的CORS-anywhere頁面自動生成頁面內容,使潛在的黑客更容易找到它們,包括這句第一行就非常引人注目:“This API enables cross-origin requests to anywhere”。所以CertiK技術團隊使用Shodan.io和Zoomeye這兩個搜索引擎尋找連接到互聯網的設備,并在搜索中尋找可利用的實例。
CORS-anywhere的默認頁面
“Shodan”返回6個結果,“Zoomeye”返回447個結果。
為了消除誤報并進一步驗證來自搜索引擎的結果,CertiK技術團隊編寫了腳本用來確認主機在線,并且可以在“CORS-anywhere”的幫助下訪問元數據服務。最終發現互聯網上總共有100個AWS EC2云服務器因為部署了CORS-anywhere,而會受到SSRF攻擊。但因為沒有被授權,所以沒有繼續嘗試獲取檢索AWS role credentials。
ZoomEye
在滲透測試期間,CertiK技術團隊利用區塊鏈瀏覽器使用的CORS-anywhere中的SSRF漏洞,獲取EC2 role credentials,從而獲得對公司S3存儲庫和CloudWatch Logs的完全(讀取和寫入)訪問權限。但沒有在AWS云中執行進一步的滲透,因為這不在滲透測試的范圍之內。
重點:
1. Web應用程序中的漏洞不僅可以在系統的前端和后端找到,而且可以在基礎設施中找到。
2. 在系統上部署第三方工具之前,請謹慎操作并了解潛在的安全風險。
3. 無論是由內部安全團隊還是第三方公司執行安全審計和滲透測試,對于確保系統的安全都至關重要。安全專業人員將嘗試從惡意黑客的角度破壞系統,在黑客真的利用漏洞之前提前幫助識別和修復。
4. 了解AWS共享責任模型。客戶應對其系統上運行的軟件負責。不要讓配置錯誤的軟件成為破壞云基礎架構的關鍵。
5. 可以關閉AWS EC2 云服務器中的matadata服務:
在AWS中,可以通過禁用對元數據服務的HTTP端點的訪問來關閉對元數據服務的訪問。這可以通過在AWS CLI中執行以下命令來完成:
6. 與Cosmos RPC API通信時,有更安全的方法來處理跨域請求:
在config / config.toml配置文件中為“ cors_allowed_origins”指定允許的值。
在相同的主機名下配置應用程序和RPC API。
將Nginx反向代理放置在節點(鏈)服務器的前面,以將CORS標頭插入HTTP響應中
使用WebSocket而不是HTTP與RPC API進行通信。
這個滲透測試故事的寓意是,當你受益于第三方代碼的價值和功能時,你也需要承擔其中可能存在的風險和安全漏洞。
在此次滲透測試服務中,CertiK技術團隊能夠在惡意黑客利用SSRF漏洞之前就將漏洞捕獲。但并不是每次都能這么幸運。因此無論是接使用內部還是外部安全團隊的審計,對于識別并降低風險因素,以及確保代碼和用戶安全都是至關重要的。
CertiK團隊在區塊鏈的各方面,諸如Solidity,RUST和Go等不同語言;以太坊,Cosmos和Substrate等多種平臺方面,都擁有豐富的經驗和專業知識。此外,在涵蓋非區塊鏈特定的應用程序,包括前端、后端和基礎設施滲透測試等方面,CertiK的技術團隊也十分專業。
如果你希望對區塊鏈生態系統(包括智能合約,底層區塊鏈協議的實現以及網絡應用程序等)進行徹底的安全審計,CertiK都可以為你提供幫助。
我們絕不僅僅是尋找漏洞,而是要消除哪怕只有0.00000001%被攻擊的可能性。
原文作者 | CertiK滲透測試團隊
編輯及出品 | CertiK(ID:certikchina)
參考文獻:
https://github.com/Rob--W/cors-anywhere/issues/152
https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/
https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/iam-instanceprofile.html
https://cosmos.network/rpc/v0.37.9
https://www.shodan.io/
https://www.zoomeye.org/
https://portswigger.net/web-security/ssrf
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html
https://github.com/Azure/WALinuxAgent/wiki/VMs-without-WALinuxAgent
https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity
6月1日來自鏈上分析門戶網站ByteTree的數據顯示,上周,上周比特幣礦工賣出的比特幣比他們同期生產的比特幣多11%.
1900/1/1 0:00:00加密貨幣發展至今,你能感覺到鏈和幣的分界線嗎?其實在區塊鏈成為風口后,加密貨幣和區塊鏈一直有兩大陣營,也就是圈內人眼中的幣圈和鏈圈,一個屬性是金融,談幣、投資、二級市場。一個屬性是技術,談應用.
1900/1/1 0:00:00由于對智能合約和以太坊轉賬的需求激增,以太坊交易費持續飆升。6月6日,以太坊礦工的交易費用(總計)比比特幣礦工高出了許多,達數月中的新高.
1900/1/1 0:00:00首檔行情直播欄目 金晚8點 熱點資訊、現貨合約,一對一實時解答隨時隨地掌握后市行情,把握幣市掘金機會2020/06/18丨今日主題:《BTC多空焦灼.
1900/1/1 0:00:00DeFi得到命名才兩年時間,但這兩年DeFi取得了難以置信的增長。但在加密社區,DeFi主要是行業玩家和發燒友在使用,而且很多是在作加密貨幣投機。這一點大家應該沒有異議。這也不是負面判斷.
1900/1/1 0:00:009.4兆瓦的羅賓維爾(Robinvale)太陽能農場是尚德在澳大利亞電網中首個實現完全自有的項目,也是全澳第一個部署WePower基于區塊鏈的PPA架構的太陽能項目.
1900/1/1 0:00:00