Se ho un certificato valido per xxxxx.github.com, non posso leggere i cookie di * .github.com?

2

Rif: Come faccio a segnalare una vulnerabilità di sicurezza relativa a un'autorità di certificazione attendibile?

Questa domanda comportava una grave vulnerabilità di sicurezza in WoSign.

Ecco il blog del finder: link

Citando una parte:

GitHub is used to store programming projects. It is a code repository. But it also gives each GitHub user their own subdomain to have a main webpage for their code. The users can do whatever they want with the page.

Thus, I naturally had full control of the subdomain schrauger.github.com and (schrauger.github.io). After verifying I owned these domains to WoSign by uploading their text file, I was allowed to generate a certificate for these two subdomains. Perfectly fine.

Ha affermato di aver ottenuto un certificato TLS valido firmato dalla CA attendibile sul dominio schrauger.github.com poiché è stato in grado di caricare file e verificare la proprietà tramite i metodi di verifica HTTP.

Quindi la mia domanda è: se posso ottenere un certificato valido per alcuni xxxxx.github.com, non posso I MITM quei siti e leggere i cookie di * .github.com?

Poiché anche i cookie dei domini principali vengono inviati ai sottodomini, cosa mi impedisce di utilizzare i cookie di autenticazione del sito web .github.com di MITMing?

    
posta Arul Anand M 26.11.2018 - 19:35
fonte

1 risposta

3

Se hai un certificato valido (cioè accettato dai clienti) per un dominio e puoi reindirizzare il traffico al dominio sul tuo sistema, allora nella maggior parte dei casi puoi essere un uomo nel medio e leggere e modificare il traffico crittografato SSL per il dominio. Ciò include anche la lettura di cookie, nomi utente, password ... - ovvero tutto ciò che TLS doveva proteggere. Ma se puoi effettivamente leggere un cookie per example.com se hai un certificato per subdomain.example.com dipende solo da attributo dominio imposta sul cookie. Per impostazione predefinita, un cookie verrà inviato solo al dominio esatto per il quale è stato emesso, ovvero un cookie impostato su example.com per impostazione predefinita non verrà inviato su subdomain.example.com .

Come utente "normale" in genere puoi controllare il traffico all'interno della rete locale, ad esempio reindirizzarlo usando lo spoofing ARP o lo spoofing DNS o intercettare il traffico avendo il pieno controllo del gateway (router) utilizzato dagli utenti nella rete . Se sei un ISP, potresti reindirizzare / intercettare il traffico per più utenti e alcune agenzie governative hanno questo tipo di capacità - in alcuni paesi, ad esempio, tutto il traffico su Internet passa attraverso sistemi controllati dal governo.

La protezione contro questo tipo di attacchi viene eseguita con metodi come pinning dei certificati, trasparenza dei certificati o simili - vedi anche Può un avversario dello stato-nazione eseguire un attacco MITM costringendo una CA a emetterli con falsi certs? .

    
risposta data 26.11.2018 - 19:52
fonte

Leggi altre domande sui tag