Błąd w Firefox ułatwiający CSRF

W ramach badań nad bezpieczeństwem routera Linksys, udało mi się zlokalizować pewną podatność przeglądarce Firefox.

Problem związany jest z obsługą URL-i o schemacie:

http://user:password@example.com/authpage.html

W przypadku wpisania tego typu adresu w pasek przeglądarki, otrzymujemy komunikat z prośbą o potwierdzenie przejścia na daną stronę.

Jednak w przypadku użycia tego adresu np. w tagu <img>, alert nie jest generowany:

<img src=http://user:password@example.com/authpage.html ...>

Istnieje zatem możliwość wykonania przez przeglądarkę uwierzytelnionego requestu HTTP do określonego zasobu, bez jakiegokolwiek potwierdzenia przez  użytkownika takiego działania.

Zazwyczaj odbywa się to poprzez umieszczenie w wybranym portalu, tagu <img> z kontrolowanym przez atakującego źródłem.

W przypadku wykonywania ataku na urządzenie sieciowe, posiadające webową konsolę zarządczą, zabezpieczoną metodą  HTTP Basic Authentication (bardzo częsty przypadek dla urządzeń klasy SOHO), atak może polegać na zakodowaniu URL-a z domyślnym loginem/hasłem administracyjnym.

Dodatkowo, URL taki może zawierać pewne akcje, umożliwiające wykonanie wrogich działań na atakowanej maszynie (łącznie z wykonaniem poleceń w systemie operacyjnym, na którym pracuje urządzenie). Przykłady tego typu działań opisywałem dla routera Linksys oraz Asmax.

Błąd został potwierdzony, przez twórców Firefox, jednak cały czas pozostaje niezałatany (9.9.2009)

 --Michał Sajdak