Java 安全模型介绍

2013/01/06 16:20 | GaRY

来源：

作为一种诞生于互联网兴起时代的语言，Java 从一开始就带有安全上的考虑，如何保证通过互联网下载到本地的 Java 程序是安全的，如何对 Java 程序访问本地资源权限进行有限授权，这些安全角度的考虑一开始就影响到 Java 语言的设计与实现。可以说 Java 在这些方面的探索与经验，对后来的一些语言与产品都带来了积极影响。

本篇文章中将介绍 Java 中安全模型，以及如何利用安全访问控制机制来实现一些特定目的。

Java 中的安全模型

在 Java 中将执行程序分成本地和远程两种，本地代码默认视为可信任的，而远程代码则被看作是不受信的。对于授信的本地代码，可以访问一切本地资源。而对于非授信的远程代码在早期的 Java 实现中，安全依赖于沙箱 (Sandbox) 机制。沙箱机制就是将 Java 代码限定在虚拟机 (JVM) 特定的运行范围中，并且严格限制代码对本地系统的资源访问，通过这样的措施来保证对远程代码的有效隔离，防止对本地系统造成破坏。如图 1 所示，

Tags: java, java安全

一次SWF XSS挖掘和利用

2012/12/28 18:43 | p.z

[ 目录 ]

[0x00] 背景

[0x01] 挖掘漏洞

[0x02] 优雅利用

[0x03] 从反射到rootkit

[0x04] 总结

[0x00] 背景

这篇迟到了近一年的paper是对 WooYun: Gmail某处XSS可导致账号持久劫持 漏洞的详细说明,赶在世界末日发布,希望不会太晚.:)

既然标题已经提到了SWF XSS,那么第一件事就是查找mail.google.com域下的所有swf文件.感谢万能的Google,利用下面的dork,可以搜索任意域的swf, "site:yourdomain.com filetype:swf",进行简单的去重之后,我们得到了如下几个swf文件:

https://mail.google.com/mail/im/chatsound.swf https://mail.google.com/mail/uploader/uploaderapi2.swf https://mail.google.com/mail/html/audio.swf https://mail.google.com/mail/im/sound.swf https://mail.google.com/mail/im/media-api.swf

通过文件名以及直接打开,对这些的swf的功能应该有了一个初步的判断. chatsound.swf和sound.swf应该是播放声音用的, uploaderapi2.swf是上传文件, audio.swf是播放音频文件, media-api.swf? 还是不知道干嘛用的... 然后直接在Google里搜索这些swf的地址, 可以得到一些含有swf的地址, 比如"https://mail.google.com/mail/html/audio.swf?audioUrl= Example MP3 file", 通过这些swf后面跟的参数, 我们可以进一步推测出这个swf的功能, 此外在反编译时搜索这些参数, 可以快速地定位到整个swf的初始化的过程. 通过以上的过程, 我们发现, 该swf不仅仅接受audioUrl参数, 还接受videoUrl参数, 说明它还是一个视频播放器, 功能上的复杂化必然会对应用的安全性有所影响, 我们决定对此SWF文件进行深入分析.

Tags: flash安全, gmail, swf安全, xss

Json hijacking/Json劫持漏洞

2012/12/28 17:45 | xsser

0x00 相关背景介绍

JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。易于人阅读和编写。同时也易于机器解析和生成。它基于JavaScript Programming Language, Standard ECMA-262 3rd Edition - December 1999的一个子集。 JSON采用完全独立于语言的文本格式，但是也使用了类似于C语言家族的习惯（包括C, C++, C#, Java, JavaScript, Perl, Python等）。这些特性使JSON成为理想的数据交换语言。

这种纯文本的数据交互方式由于可以天然的在浏览器中使用，所以随着ajax和web业务的发展得到了广大的发展，各种大型网站都开始使用，包括Yahoo，Google，Tencent，Baidu等等。

但是如果这种交互的方式用来传递敏感的数据，并且传输的时候没有做太多安全性控制的话将导致安全漏洞，根据敏感信息的不同导致会导致应用遭受不同级别的攻击。

Tags: json, json-hijacking, 前端安全

使用Hash直接登录Windows

2012/12/28 16:13 | VIP

首先,在本地主机（假设为目标主机）

新建一个wooyun用户,并为之设置密码,然后通过gethashes.exe获取到HASH

C:\>net user wooyun test The command completed successfully. C:\>gethashes.exe $local 1:1007:C2265B23734E0DACAAD3B435B51404EE:69943C5E63B4D2C104DBBCC15138B72B::: Administrator:500:0A174C1272FCBCF7804E0502081BA8AE:83F36A86631180CB9F5F53F5F45DF B2B::: Guest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0::: HelpAssistant:1000:CF88594C2AC20629EEF3D6DABD2DA92D:0FCE98570CBB9C14E8FF200353B2 707B::: wooyun:1003:01FC5A6BE7BC6929AAD3B435B51404EE:0CB6948805F797BF2A82807973B89537::: SUPPORT_388945a0:1002:AAD3B435B51404EEAAD3B435B51404EE:F9E8AE6C7229EA07EFAC12715 F954B83::: **vmware_user**:1006:AAD3B435B51404EEAAD3B435B51404EE:915D1CEE456EA4DD6A8094F7CE 094448::: C:\> Tags: hash, windows, 域安全

最近MIT发了一篇文章（English PDF），讲了他们通过给Tor网络回路做指纹特征的办法企图识别洋葱路由Tor的匿名服务，结合网页指纹的办法最终可以跟踪到用户。这篇文章引起很多讨论，是否成功攻破Tor这个话题又被讨论起来。由这篇文章启发，受小编邀请，我就来把最近这几年攻击Tor匿名服务的一些方法和尝试做个简单的综述。以下内容都不是我原创，我尽量保持浅显地做了这篇文章整理综述的工作，文章结尾有一些深入阅读材料供进一步参考。这篇文章字比较多又没什么图和代码，所以给个TL;DR（太长不读）: 攻破Tor的匿名服务是很难的事，下面这些方法和尝试都是一些启发性的工作(heuristic analysis)。

0x00 听风就是雨：简单介绍一下Tor

Tor（The Onion Router，洋葱路由器）的主要目的是为了防范通过流量过滤和嗅探来窥探用户的通信隐私，多数中国人民熟悉它倒不是因为它的加密而是因为它的多层节点能跨越长城。它的基本原理是，Tor用户在本地架设一个洋葱代理服务器，这个服务器定期和其他Tor用户交流从而形成一个拓扑结构的回路（circuit）。Tor把用户要传输的信息在应用层加密，每对路由之间都通过点对点的对称加密通信，每对路由相当于洋葱的一层皮，这样的多层拓扑结构相当于把客户端温暖地包在洋葱的心里，这就是Tor保护信息来源的方式。信息从客户端发出，通过网络随机化寻找路径，通过一层一层的加密代理节点，从出口节点以明文的方式发出去，所以对目的节点来说它只能看到明文消息从出口节点发出并不知道消息源客户端的位置。如果知道Tor部分节点的IP，攻击者可以反向查询整个信息的流向从而找出客户端的源头，所以对于每个Tor的代理服务器来说，千万不能告诉外界自己的IP地址。

0x00 漏洞背景