Acquisizione password dal file di dump o dal browser dopo la disconnessione

Question

Acquisizione password dal file di dump o dal browser dopo la disconnessione

#1 da (1 voti)
#2 da (1 voti)

3

Sto lavorando al controllo di sicurezza delle applicazioni web. Stavo passando attraverso varie checklist e amp; metodologia.

Ho trovato una cosa interessante in un documento.

Tipo - Gestione della configurazione Test di sicurezza - Dopo il logout, ho creato un file di dump del mio browser Chrome e l'ho aperto nell'editor Winhex. Usato funzione di ricerca di quello strumento e inserito "pass=" per trovare la password. Ho trovato username e password mostrati in hex con quello strumento.

La mia domanda: si tratta di una vulnerabilità di un'applicazione?

Stavo anche cercando una soluzione. Ho pensato che se uno sviluppatore poteva ripristinare la variabile dopo l'accesso immediato, può eliminare questa vulnerabilità. Ho ragione?

audit

posta FrOgY 30.03.2014 - 23:52

fonte

2 risposte

Leggi altre domande sui tag audit

Come si può rilevare un token non sicuro e non casuale? Sicurezza della password su smartphone smarrito o rubato

score 1 · Answer 1

È una vulnerabilità? Sì.

È una grave vulnerabilità? Probabilmente no. Affinché un utente malintenzionato possa leggere una password fuori dalla memoria, ha bisogno di un modo per leggere parti arbitrarie della memoria, eseguendo il proprio programma sul computer (nel qual caso la sicurezza è già totalmente compromessa) o sfruttando un uso dopo l'altro o un bug simile per convincere un altro programma a fare la lettura per loro.

Per quanto riguarda una soluzione, dipende da dove proviene la password. Se è Javascript, non c'è un modo sicuro per risolverlo: Chrome non sa che c'è qualcosa di speciale nella variabile, quindi non può cancellarlo dopo l'uso, e il Javascript non può contare su scritture successive alla variabile che finisce nel stesso pezzo di memoria.

score 1 · Answer 2

Quando lo trovi nella memoria del browser web, le informazioni sono trapelate dal browser web, non dall'applicazione web. Non è possibile rendere responsabile l'applicazione Web di cui si sta eseguendo la verifica per Chrome.

Inoltre, per accedere a tali informazioni, qualcuno avrebbe bisogno di accedere al computer privato degli utenti e disporre dell'autorizzazione per l'esecuzione di strumenti diagnostici. Quando l'aggressore è arrivato così lontano, è stato anche possibile installare un keylogger per ottenere la password dell'utente. Questo è anche un vettore di attacco a cui un'applicazione web difficilmente può fare nulla contro, quindi dovrebbe essere fuori portata per un controllo di sicurezza di un'applicazione web.