Vấn đề về quản lý mật khẩu trong IE và Firefox (Phần cuối)

Bộ quản lý password của Firefox 2.0 (tháng 11 năm 2006) có một lỗ hổng có thể cho phép thông tin người dùng (từ trang đang vào) có thể gửi đến bất kỳ URL nào nếu họ click vào một link nguy hiểm. Lỗ hổng này được gọi là Reverse Cross-Site Request (RCSR), nó bắt nguồn từ thực tế trình duyệt không kiểm soát URL để các thông tin này được gửi thông qua các web form. Người dùng đã ghé thăm trang từ trước và lưu lại các thông tin trên bộ quản lý password, do đó các tấn...
Nội dung trích xuất từ tài liệu:
Vấn đề về quản lý mật khẩu trong IE và Firefox (Phần cuối) Vấn đề về quản lý mậtkhẩu trong IE và Firefox (Phần cuối)5.2 Bổ sung những thiếu sót về bộ quản lý password trongFirefox 2.0Bộ quản lý password của Firefox 2.0 (tháng 11 năm 2006) cómột lỗ hổng có thể cho phép thông tin người dùng (từ trang đangvào) có thể gửi đến bất kỳ URL nào nếu họ click vào một linknguy hiểm. Lỗ hổng này được gọi là Reverse Cross-Site Request(RCSR), nó bắt nguồn từ thực tế trình duyệt không kiểm soátURL để các thông tin này được gửi thông qua các web form.Người dùng đã ghé thăm trang từ trước và lưu lại các thông tintrên bộ quản lý password, do đó các tấn công có khả năng tấncông vào. Việc đánh cắp thông tin này đã được đưa ra trênMySpace.com và được CIS phát hiện ra. Các trang bình thườngcó cho phép người dùng gửi HTML nguyên bản hầu như rất dễgặp phải tấn công kiểu này.RCSR nguy hiểm hơn kiểu tấn công mô tả trong phần 5.1 bởivì XMLHttpRequest không cho phép các yêu cầu ngoài tên miềnhiện hành. Thêm vào đó, link (cho phép đệ trình các form) có thểxuất hiện trong các dạng video, chương trình hay có thể là cáctrò chơi nhằm làm cho nó khó bị phát hiện.5.3 Việc phát hiện ra các password Internet Explorer5.3.1 Khôi phục lại passwordNhiều công ty có phần mềm thương mại để khôi phục lại cácpassword từ AutoComplete của Internet Explorer. ElcomSoftcung cấp một chương trình thực hiện công việc này có tên làAdvanced Internet Explorer Password Recovery (AIEPR). Khibắt đầu nó có thể khôi phục lại bất kỳ thông tin AutoCompletetrên bất kỳ phiên bản Internet Explorer nào từ 3 đến 6 miễn làngười dùng đã đăng nhập vào. Các chương trình phần mềm nhưlà PassView làm việc trên Internet Explorer phiên bản 4 đến 6 vàIEPassView cho phiên bản IE7 được cung cấp hoàn toàn miễnphí.5.3.2 MalwareInternet Explorer thường sử dụng một cách thức tốt để chống lạisự xâm hại của malware. Tuy nhiên vẫn còn những lổ hổng đểcác malware có thể xâm nhập vào thông tin AutoComplete. Cácchương trình này tăng các thông tin mật sau đó gửi quay lại chokẻ tấn công. BackDoor-AXJ là một chương trình Trojan lưuAutoComplete và các thông tin khác của nạn nhân sau đó gửinhững thông tin này ngược trở lại người điều khiển. Srv.SSA-KeyLogger là một backdoor được cài đặt ngầm trên InternetExplorer và hành động như một bản ghi chính. Backdoor cũngngầm khởi tạo AutoComplete và lấy cắp dữ liệu từ ProtectedStorage và sau đó gửi lại thông qua giao thức HTTP GET.5.4 Phát hiện ra các password trong Firefox5.4.1 Có thể truy cập một cách dễ dàng vào password vănbản.Với những người sử dụng Firefox Password Manager thì cácthông tin được ghi vào có thể quan sát được các password dướidạng văn bản rõ ràng khi như hướng dẫn dưới đây:Trên Windows XP:Firefox 1.5Tools | Options | Privacy | Passwords | View Saved Passwords| View Passwords | Show PasswordsFirefox 2.0Tools | Options | Security | Show Passwords | ShowPasswords5.4.2 Các tấn công Master PasswordGần đây các công cụ được phát triển để thực hiện các tấn côngvào password trên Master Password trong Firefox. Các tấn côngkiểu dưới đây vẫn đang rất nguy hiểm: Brute force Dictionary HybridFiremaster là một công cụ bẻ khóa được thiết kế dành choMaster Password trong Firefox. Công cụ được viết bằng C++ bởiN. Y. Talekar vào tháng 1 năm 2006; mã nguồn của chươngtrình này hiện nay được tung lên mạng. Các công cụ khác đượcviết bằng C cho chức năng chính đang được phát triển tiếp. Khicác công cụ được cải thiện, cơ sở dữ liệu password hoàn toàn cóthể tin tưởng vào Master Password để đối phó với các tấn công.Do vậy không thể nói rằng một password kém có thể được bẻtrong một vài giây. Hơn nữa việc không có password sẽ phơi bàycơ sở dữ liệu password ngay tức khắc. Điều này cơ bản tươngđương với việc đánh dấu menu tùy chọn trong Firefox để hiệncác password.5.4.3 Nhiều username/password trên một URLFirefox có một đặc tính thú vị sẽ cho phép nhiều sự thẩm địnhcho cùng một trang. Cho ví dụ hãy nói hai ký tự hư cấu là Alicevà Bob sử dụng Firefox Password Manager trên cùng một tàikhoản Windows XP nhưng có các tài khoản ngân hàng khácnhau trên cùng trang (www.pncbank.com). Password Manager sẽcho phép nhiều cặp username và password. Password Managersẽ nhận ra khi sử dụng mỗi tài khoản web dựa vào username vàtự động điền trường password. Đặc tính này cung cấp khả năngquan sát thông tin người dùng sau:URLbobk9x763salicen63ld23fDựa vào các mô hình bảo mật, không có cặp riêng lẻ nào sẽ sửdụng cùng tài khoản; mặc dù vậy, vấn đề này vẫn có rủi ro bởi vìkhông phải tất cả các tổ chức đều làm việc tốt. Thêm vào đó, cómột vấn đề liên quan nếu một cặp username/password được nhậpkhông đúng cho một trang nào đó (như là một lỗi trong việcchuyển hai đăng nhập cho các trang mới khác nhau hoàn toàn).Thông tin này sẽ ...