阿碼外傳-阿碼科技非官方中文 Blog: 2008年9月19日

2008年9月19日

Web 大威脅:Jeremiah 與 RSnake 於 OWASP 美國年會禁講!

阿碼科技今年又派了九位同事參加「2008 OWASP 美國年會」(OWASP AppSec US),今年在紐約舉辦,共有近三十家廠商參展,上千人參加,將超過去年在台灣辦的「2007 OWASP 亞洲年會」,而成為有史以來最大型的 Web 資安專門會議。去年真的很感謝 Jeremiah 應我的邀請,不但在百忙之中來台灣演講,還答應我不能講舊的內容,而在會議上講了最新的題目「商業邏輯錯誤」(他的台灣行日記一日記二),並發表了他最新的 whitepaper。我在我的「Black Hat 2008 觀察」中有說,其實他這次美國駭客年會 Black Hat 2008 的演講,大部分的內容是跟他來台灣講的那場一樣的。

在會上的最近真的是忙翻了,但是行前還是瞄了一下這些朋友的 blog,突然發現本來很期待 Jeremiah (blog)跟 RSnake (ha.ckers.orgsla.ckers.org)共同的演講「Clickjacking」,結果竟然被Adobe 要求不要講!不會吧!這是我們大家最想聽的演講之一,怎麼會這樣?英國最大 IT 媒體The Register 也以「Adobe 禁止 Clickjacking 弱點的公開」大幅報導此事。Jeremiah 與 RSnake 合著有「XSS Exploits: Cross Site Scripting Attacks and Defense」,是探討 OWASP Top 10 中排名第一的跨網站腳本攻擊(XSS,cross-site scripting),兩人都是多屆 Black Hat / DEFCON 講師,去年兩人也是 2007 OWASP 美國年會講師,今年兩人合講的這個題目,我想不只阿碼科技,應該非常多人有興趣,結果竟然不講了!由今年 OWASP 美國年會 的網頁,點「Clickjacking」,竟然連到 Adobe 的 blog,上面說明,由於這次將公開的弱點影響層面太大,並且包含 Adobe 的產品,兩位講師決定先不講,等到諸多廠商的漏洞先修復後再說。

天哪,立刻打 RSnake 手機,他確認,真的是不講了,RSnake 我們可是買了九張機票ㄝ。RSnake 在 blog 上有做說明,他說,原本他們覺得是一場很好的演講,但是因為漏洞像滾雪球一樣,一個漏洞導致另一個漏洞,牽涉到一個接一個廠商,導致整個弱點的嚴重性不只是嚴重,而是超級嚴重所以兩個講師決定必須等所有牽涉其中的廠商都把漏洞修改完,才適合做揭露。RSnake 這次在 Black HatDEFCON 都是講師,我兩場都有去,但是他都沒有提,我們想沒關係,等到 OWASP 吧!結果真是沒想到...

RSnake 在他的 blog ha.ckers.org提到,這次找到的漏洞很嚴重,但修起來並不容易,是導致演講取消的主要原因。RSnake 說,只有兩種解法,第一種,地球上所有的網站都需要修改漏洞,但是不可能;第二種則是靠修改瀏覽器來彌補,但是各大瀏覽器都需要修改。RSnake 在 blog 上說,「我們已經跟微軟與 Mozilla 都談過了,他們也都各自回應,兩邊都認為這個問題很難解,一時之間並沒有好的解法」。

RSnake 並強調,這跟進今年 Black HatDEFCON 上,MIT 學生被法院禁止講地鐵卡的事件,或 2005 年 Black Hat 上,Michael Lynn 要講 Cisco 漏洞結果被法院封口等事件不一樣,這次是他與 Jeremiah 自己決定不講的,並沒有遭誰封口。RSnake 說,對於想聽演講而落空的與會者,他很抱歉,希望漏洞趕快修補完畢,他能給演講彌補大家。

Jeremiah 則在他的 blog 上提到,Clickjacking 基本上就是,一個惡意的網站掛馬 javascript,可以誘導使用者按下一個隱藏的連結。這種攻擊並非新聞,但是之前大家太低估這種攻擊的嚴重性了。他們這次的研究主要就是示範其嚴重性,其中牽涉了一個 Adobe 的漏洞。但是 Adobe 認為此漏洞屬於最高嚴重性,因此希望他們能暫緩演講,讓 Adobe 與其他廠商能有足夠的時間修補漏洞。

兩人的 blog 上最後一段都一樣:「這不是一個簡單的決定,但他們認為現在不講是最好的選擇;至於如果大家擔心在這段期間遭受攻擊,可以停用瀏覽器的 javascript 以及外掛功能。」

目前網站掛馬真的很嚴重,他們找出了這樣的漏洞其實我並不意外,也覺得他們沒有講是對的。我在 DEFCON 2008 第一天觀察一文中提了一些關於負責的弱點揭露的看法,我認為負責的弱點揭露,一定要先通知對方,對方如果有誠意修改,那麼即使要求弱點揭露延期,負責的資安研究員也應該要接受。就像這次 DEFCON 2008 會議上,Jon 對於 Medeco 的弱點揭露,也是延了兩個月,讓對方有時間修補。如果已經通知了但是對方沒有誠意修改,當然另當別論。依我的觀察,大部分負責的,或有名的資安研究員,一般都會採此方法,以先通知廠商為主。

希望這次 RSnake 與 Jeremiah 研究的漏洞,能夠早日獲得 Adobe 以及各大瀏覽器的修補,我們也能早些得知他們的研究內容。到底是什麼呢?有沒有人要猜猜看?

作者 Wayne 為 阿碼科技 CEO

繼續閱讀全文...