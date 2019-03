JavaScript je dnes jedním z nepoužívanějších programových jazyků, protože ho najdeme na většině webových stránek. Aby nemohl uživateli jednoduše škodit, je svázán celou řadou přísných pravidel, která prosazuje samotný prohlížeč. Jedním z nich je i same-origin policy, což je mechanismus bránící jedné stránce k přístupu k datům jiných stránek.

Libovolná stránka si tak nemůže ve vašem prohlížeči procházet obsah stránky s vašim webmailem nebo posílat zprávy přes sociální síť, ke které jste přihlášení. Jsou to oddělené světy, které k sobě nemají přístup. Výjimku tvoří stránky, které leží na stejné doméně a používají stejný protokol i port (same origin = stejný původ). Je to logické: web může k vlastním datům.

Nic není dokonalé

Bohužel už se v praxi několikrát ukázalo, že tato pravidla nejsou dokonalá a lze je obejít. Příkladem může být například DNS rebinding. Zde popisovaná metoda umožňuje záškodnické stránce využít prohlížeče jako proxy a získat tak přístup k zařízením ve vnitřní síti. Ta může kontaktovat, zkoumat a v nejhorším případě zneužít bezpečnostní slabiny v nich a napadnout je.

Potíž je, že zmíněnou metodu same-origin policy nepokrývá a nebrání jí ani firewall na hranici sítě, protože počítač může obvykle kontaktovat své sousedy ve stejné síti. Pokud toho dokáže JavaScript přímo využít, může například v místní síti objevit router s výchozími přístupovými údaji, změnit jeho nastavení a unést provoz k útočníkovi.

Princip zneužití je zajímavý v tom, že obchází bariéry pomocí postranních kanálů. Nemůže přímo nahlédnout mimo svůj prostor, může ale sledovat jisté signály, které mu můžou načrtnout překvapivě přesný obraz světa za zdí.

Použitá metoda není nová, ale mimo bezpečnostní komunitu není příliš známá. Útočníci o ní samozřejmě vědí. Je proto důležité, aby i obránci věděli, že je něco takového možné. Podrobnosti zveřejnila na svém blogu společnost Forcepoint (plná zpráva v PDF).

Když jen vysíláte

Technika využívá faktu, že same-origin policy neomezuje vkládání objektů z cizích domén, ani odesílání požadavků na ně. Jen si JavaScript nedokáže přečíst odpověď, přístup k ní je mu zablokován. Výsledkem je tak jednosměrný přenos informací bez zpětné vazby. Vytvořený nástroj může těžko něco zkoumat, když nezíská zpětnou vazbu.

JavaScript ovšem umí generovat chybové hlášky, které jsou při zkoumání vnitřní sítě velmi užitečné. Útočnému skriptu pak stačí požadavky do sítě slepě odesílat a sledovat stav pomocí chybových hlášení. Nemusí mít přístup přímo k odpovědím.

Takto je možné v síti provést sken zařízení, projít otevřené porty a poznat na nich jednotlivé služby. Je také možné provádět omezený fingerprinting a zaměřit se pak na konkrétní napadnutelné zařízení. Výsledkem může například být, že úspěšně napadený router prozradí útočníkovi skutečnou IP adresu, přestože původně komunikoval uživatelův prohlížeč skrze síť Tor.

Skenování počítačů

V první řadě je možné zjistit místní IP adresu počítače, což útočníkovi pomůže v provádění dalších skenů ve správných rozsazích. Prakticky k tomu lze využít rozhraní WebRTC, jak ukazuje jednoduché demo na net.ipcalf.com. JavaScript pak může samozřejmě zjištěnou hodnotu odeslat do internetu útočníkovi.