Бауке ван дер Бейл показывает уязвимости, позволяющие любому сайту украсть данные из базы, работающей на компьютере посетителя. Уязвимы Redis, Memcached и Elasticsearch. Атака на них состоит из двух частей.
1. Межпротокольный скриптинг. У Redis и Memcached простой текстовый протокол, в котором игнорируются все невалидные команды. Это значит, что браузер может успешно выполнить такой HTTP-запрос к Redis, отправив его на localhost:6379
:
POST / HTTP/1.1
Host: localhost:6379
SET abc 123
QUIT
(В ближайшей версии Redis это поправят, но костыльно: команды POST
и Host:
станут алиасами для QUIT
.)
Протокол Elasticsearch основан на HTTP, поэтому запросы к нему можно делать без дополнительных хитростей.
Хотя браузер и может выполнить эти запросы, он не прочитает ответ из-за same-origin policy. Чтобы обойти это, используется вторая атака.
2. Перепривязка DNS. Когда браузер резолвит домен злого сайта, он получает ответ с маленьким временем жизни (например, 1 минута). Во время следующего (уже аяксового) запроса браузер снова резолвит этот домен, но вместо настоящего IP-адреса получает 127.0.0.1
. После этого код сайта сможет выполнять запросы на локальном компьютере без ограничений.
В сочетании с другой атакой на Redis злоумышленник способен не только украсть данные, но и исполнить произвольный код на компьютере жертвы. Например, перезаписав ей .bash_profile
.
Ван дер Бейл демонстрирует работоспособность атаки на extractdata.club.