Quali attacchi sono resi possibili dalla pubblicazione pubblica della mia cronologia web?

Naviga le tue risposte
85

Supponiamo che la mia cronologia di Internet sia resa pubblica (accidentalmente o di proposito). E questa versione è più di 24 ore da quando sono state fatte le visite.

Supponi anche che non ci siano siti imbarazzanti lì: non c'è alcun potenziale di ricatto.

(La mia pagina più imbarazzante visitata nell'ultima settimana è in realtà la pagina dei trofei TV per il mio piccolo pony , per il quale ho un valido motivo e un testimone).

Quali potenziali attacchi lo consente? Sono moderatamente preoccupato di vedere link enormi come:

hxxps://kdp.amazon.com/en_US/ap-post-redirect?openid.assoc_handle=amzn_dtp&aToken=Atza%7CIwEBIO9mWoekr9KzK7rH_Db0gp93sewMCe6UcFPm_MbUhq-jp1m7kF-x0erh6NbjdLX3bm8Gfo3h7yU1nBYHOWso0LiOyUMLgLIDCEMGKGZBqv1EMyT6-EDajBYsH21sek92r5aH6Ahy9POCGEplpeKBVrAiU-vl3uIfOAHihKnB5r2yXPytFCITXM70wB5HBT-MIX3F1Y2G4WfWA-EgIfZY8bLdLangmgVq8hE61eDIFRzcSDtAf0Sz7_zxm1Ix8lV8XFBS8GSML9YSwZ1Gq6nSt9pG7hTZoGQns9nzKLk7WpAWE8RazDLKxVJD-nDsQ9VdBJe7JZJtD7c77swkYneOZ5HXgeGFkGhKsMnP7GSYndXhC_PqzY251iDt0X7e5TWvh86WZA0tG2qZ_lyIagZtB3iw&openid.claimed_id=https%3A%2F%2Fwww.amazon.com%2Fap%2Fid%2Famzn1.account.AEK7TIVVPUJDAK3JIFQIQ77WZWDQ&openid.identity=https%3A%2F%2Fwww.amazon.com%2Fap%2Fid%2Famzn1.account.AEK7TIVVPUJDAK3JIFQIQ77WZWDQ&openid.mode=id_res&openid.ns=http%3A%2F%2Fspecs.openid.net%2Fauth%2F2.0&openid.op_endpoint=https%3A%2F%2Fwww.amazon.com%2Fap%2Fsignin&openid.response_nonce=2018-12-11T13%3A46%3A52Z4004222742336216632&openid.return_to=https%3A%2F%2Fkdp.amazon.com%2Fap-post-redirect&openid.signed=assoc_handle%2CaToken%2Cclaimed_id%2Cidentity%2Cmode%2Cns%2Cop_endpoint%2Cresponse_nonce%2Creturn_to%2CsiteState%2Cns.pape%2Cpape.auth_policies%2Cpape.auth_time%2Csigned&openid.ns.pape=http%3A%2F%2Fspecs.openid.net%2Fextensions%2Fpape%2F1.0&openid.pape.auth_policies=http%3A%2F%2Fschemas.openid.net%2Fpape%2Fpolicies%2F2007%2F06%2Fnone&openid.pape.auth_time=2018-12-11T13%3A46%3A52Z&openid.sig=5cx5iHjeLyWTTA9iJ%2BucszunqanOw36djKuNF6%2FOfsM%3D&serial=&siteState=clientContext%3D135-4119325-2722413%2CsourceUrl%3Dhttps%253A%252F%252Fkdp.amazon.com%252Fbookshelf%253Flanguage%253Den_US%2Csignature%3DgqJ53erzurnmO1SPLDK1gLwh9%2FUP6rGUwGF2uZUAAAABAAAAAFwPv8dyYXcAAAAAAsF6s-obfie4v1Ep9rqj

nella mia storia e preoccupante che le informazioni sicure possano essere passate in un URL da qualche parte.

Sono consapevole che questo rende più facile l'identità della mia identità, e sono principalmente interessato alla fuga di informazioni tramite l'URL stesso.

Ho un interesse generale, ma questo è motivato da un test progetto Sono in esecuzione.

    
posta Joe 11.12.2018 - 20:42
fonte

8 risposte

84

La tua domanda potrebbe essere più indefinita di quanto tu creda. Qualsiasi tipo di dati può essere passato utilizzando i parametri URL. Nomi utente, password, token di autenticazione, impostazioni, dati di moduli o qualsiasi cosa lo sviluppatore web scelga. Non è sempre consigliabile utilizzare i parametri URL per questo, ma è sempre possibile .

E spetta esclusivamente a ogni singolo sviluppatore web su ogni singola pagina (non solo al sito) su cosa potrebbe essere esposto e quando. Quindi potresti non essere in grado di prevedere cosa potrebbe essere esposto.

Quindi, per rispondere alla tua domanda, nel peggiore dei casi, potresti provare una completa e completa rivelazione di qualsiasi quantità di dati personali, incluse le credenziali.

Su richiesta, ho effettuato una ricerca per la pratica di "password nei parametri URL" e risultati limitati per quest'anno. Ecco uno dei migliori successi:

link

Questo è un forum del febbraio 2018 di un'importante società quotata in borsa che parla di come farlo.

Questa è la pagina ufficiale di OWASP su questa vulnerabilità:

The parameter values for 'user', 'authz_token', and 'expire' will be exposed in the following locations when using HTTP or HTTPS:

Referer
Header
Web Logs
Shared Systems
Browser History
Browser Cache
Shoulder Surfing

    
risposta data 11.12.2018 - 20:52
fonte
32

In effetti un po ':

  • Estorsione basata sul contenuto
  • Sistemi di mappatura che non sono pubblici
  • Parametri sensibili in alcune richieste
  • Informazioni personali

Estorsione

Quella tua ricerca potrebbe essere imbarazzante e fuori dal contesto. Una ricerca WebMD per una condizione medica che non si desidera rendere nota ai colleghi, ad esempio. Una ricerca che è stata eseguita meglio in modalità di navigazione in incognito dimenticata.

Sistemi di mappatura che non sono pubblici

Che ne dici del tuo sito intranet o di quel portale di produzione, beh, quei nomi stanno per comparire nella tua cronologia ora e se è qualcosa come Jenkins - questo è un ottimo candidato per un attacco di rebind DNS.

Parametri sensibili in alcune richieste

Se visiti un sito che fa erroneamente Internet e il parametro contiene una chiave API, password, credenziali o semplicemente un ID account che viene catturato e può essere utilizzato subito.

Informazioni personali

Vedo che sei in cerca di vacanze a marzo per 2 settimane: sarebbe un ottimo momento per entrare in casa o impersonare te. Cerchi un anello di fidanzamento che suoni come qualcosa che vale la pena rubare. Hai fatto una mappa di google dal tuo indirizzo in un'altra posizione?

    
risposta data 11.12.2018 - 21:48
fonte
16

Una delle minacce che vorrei menzionare che non è stata ancora nominata è la de-anonimizzazione.

Gli URI nella cronologia potrebbero divulgare informazioni sui tuoi account utente su siti diversi, ad esempio se controlli costantemente il tuo profilo sui siti di social media. Se usi alcuni servizi web in modo anonimo e altri sotto il tuo vero nome (Facebook, Twitter) un avversario può facilmente de-anonimizzare e dox tu. Questo può essere particolarmente dannoso per te se ti presenti su una piattaforma in modo anonimo e vuoi che rimanga tale (piattaforme di incontri, piattaforme per la condivisione di file, piattaforme di libertà di parola).

I dati su Internet hanno anche la tendenza a essere lì per molto tempo, quindi questa minaccia è molto persistente.

    
risposta data 12.12.2018 - 00:17
fonte
7

Proverò la mia mano a questo ... Tieni presente che c'è una differenza tra "tutti i possibili" e "attacchi mirati". Con questo in mente, suddividerei i tipi di attacco in almeno due categorie: cyber e comportamentale. Possono essere derivati l'uno dall'altro, ma sono di natura intrinsecamente diversa.

Cyber minacce a chi ha accesso ai tuoi URL:

Cyber + comportamentale minacce a qualcuno che ha accesso ai tuoi URL

  • Punti deboli personali: quali siti frequenti indica i modelli sociali: simpatie / antipatie, politica, salute, ricchezza, ecc. Ad esempio: se un utente malintenzionato ti sta bersagliando per sfruttamento e sa che stai visitando i siti di consolidamento del debito, essi potrebbe offrirti un aiuto finanziario in cambio di favori. Se stai frequentando ashleymadison.com e sei sposato, potrebbero avvicinarti a te con un ricatto per non farti uscire dal tuo coniuge. Non intendo che questo sia offensivo, ma assumere che tu sia poco disponibile è piuttosto ingenuo. Queste informazioni possono anche consentire all'attaccante (s) di soddisfare attacchi a te, in caso di pesca subacquea. per esempio. Se l'attaccante / i sa di visitare fidelity.com, yahoo.com, bankofamerica.com, ricevere un'email falsificata da uno di questi domini può produrre risultati migliori aprendo l'allegato email- > o facendo clic sul collegamento piuttosto che se è venuto da xyz.com o S0m3rand0mD0main.ru.

  • Abitudini personali: se sei una creatura abitudinaria (come la maggior parte delle persone), nel tempo, può vedere le ore del giorno in cui sei connesso a Internet e potenzialmente da quale dispositivo (i) e quale posizione (s). Se l'attaccante sta prendendo di mira la tua casa, può derivare quando lavori, quando sei a casa, e quanto è irregolare un livello di confidenza nel prevedere dove sarai domani o il giorno dopo.

risposta data 12.12.2018 - 18:15
fonte
5

Per aggiungere al post informazioni sulla perdita di informazioni nell'URL:

Un utente malintenzionato che ha questo potrebbe:

1: Estrai quali siti usi per provare ad accedere per vedere se stai usando gli stessi creds [presume che l'attaccante abbia catturato un cred]

2: Questa informazione fornisce conoscenze molto più avanzate per la creazione di attacchi di phishing EX: "sei stato selezionato per proiettare la nuova stagione MLP [qualunque cosa]"

3: Possibile tracciamento fisico basato sui siti "oh loro figlio va a" piccola guardia delle ragazze "perché li vedo accedere per pagare quel conto"

Potrebbe essere più dipendente da cosa c'è dentro.

    
risposta data 11.12.2018 - 21:02
fonte
1

Nel caso di un utente malintenzionato che si rivolge specificamente a te, potrebbe identificare un sito web amatoriale piccolo, debolmente protetto che frequenti e il tuo nome utente su di esso, e penetrare nel sito nella speranza di trovare una password che riutilizzi altrove, o rubare altri dati sensibili; magari persino creare attivamente contenuti blackmailable usando il tuo account.

Nel caso più probabile in cui l'autore dell'attacco utilizza uno strumento automatico per analizzare la cronologia web di molte persone, è ciò che altri hanno detto: mappatura di intraweb e magari ricerca di informazioni di accesso per siti Web scritti in modo incompleto.

    
risposta data 15.12.2018 - 09:35
fonte
1

Se la cronologia di navigazione è stata rilevata, l'utente malintenzionato è in possesso dell'elenco di URL a cui ha avuto accesso il browser. Da un URL complesso un utente malintenzionato può identificare queste informazioni:

  1. Protocollo
  2. sottodominio
  3. Dominio
  4. Port
  5. Percorso
  6. Parametri di una query
  7. Frammento

Ora,latuaprivacydipendedalmodoincuilosviluppatorehacostruitoilsito.

Sehaieffettuatol'accessosuunsitoWebchehaunURLcomequesto:

www.example.com/?login=**myusers**&password=**mypassword**

quindil'autoredell'attaccohaletuecredenzialiperquelsito.

Alcunideipossibiliattacchipotrebberoessere:

  1. Iniezione SQL
  2. Manipolazione degli URL
  3. Attraversamento della directory
  4. Identifica il furto

In parole semplici, la tua privacy / rischio dipende dal livello di sicurezza del sito.

    
risposta data 11.12.2018 - 21:18
fonte
0

Penso che ci sia anche un altro livello di attacco che può venire dal suo stesso livello di consapevolezza e comportamento della sicurezza. Se lui, ad esempio, riutilizza le password, qualsiasi cosa a cui può accedere usando quella password potrebbe essere divulgata / acceduta / qualsiasi altra cosa. Se ora non si specifica specificamente ciò che si trova nella cronologia di navigazione Web e non è possibile contestualizzarlo nei suoi schemi e comportamenti di utilizzo effettivi, non è possibile valutare realmente l'esposizione.

La sua domanda: quali attacchi sono potenzialmente esposti rilasciando la cronologia di navigazione? Fondamentalmente è la domanda sbagliata. La risposta è la stessa di "quali attacchi sono possibili da qualsiasi esposizione di informazioni" - e la risposta è che dipende da cosa sia effettivamente quell'informazione. Il fatto che si tratti della cronologia di navigazione sul Web limita solo la dimensione delle informazioni potenzialmente esposte, non le implicazioni o il valore di tali dati.

Da un punto di vista del rischio, l'applicazione di un controllo come "cancellare la mia cronologia di navigazione" fa molto spesso per eliminare le incognite. Nel contesto del suo progetto di pubblicare la sua cronologia di navigazione web, la cosa giusta da fare potrebbe essere quella di eliminare qualsiasi cosa dopo un punto interrogativo o hashmark da quello che viene pubblicato - quindi, sarà in gran parte un modello di traffico con data e ora, piuttosto che un modello di contenuto.

    
risposta data 14.12.2018 - 19:21
fonte

Leggi altre domande sui tag

Perché i file non assegnati a un utente sono considerati a rischio per la sicurezza? [duplicare] La BBC non è estremamente irresponsabile nel descrivere come autenticare un'e-mail relativa all'account?