Des services cachés Tor identifiables via leur certificat TLS
Le 05 septembre 2018 à 09h58
1 min
Internet
Internet
Selon le chercheur en sécurité Yonathan Klijnsma, de RiskIQ, cité par Bleeping Computer, des serveurs web (Apache ou Nginx) mal configurés écoutent une adresse IP sur l'Internet public, plutôt que leur localhost (127.0.0.1).
Cette bourde permettrait donc d'accéder au serveur d'origine sans passer par Tor. Pour le chercheur, cette erreur est « commune ». Sur un tel site, le certificat TLS est à la fois associé au service caché, mais aussi à une adresse IP publique. Il suffit donc de cataloguer ces certificats pour obtenir une base des adresses IP de ces sites.
La solution est simple, selon Yonathan Klijnsma : configurer son serveur web pour limiter l'écoute sur 127.0.0.1. Rien de plus.
Le 05 septembre 2018 à 09h58
Commentaires (4)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/09/2018 à 11h22
Pour apache2, en cas de virtualhost
ServerAdmin [email protected]
DocumentRoot “/www/docs/host.example.com”
ServerName host.example.com
ErrorLog “logs/host.example.com-error_log”
TransferLog “logs/host.example.com-access_log”
sinon : listen 127.0.0.1: 80 (par exemple) (edit pour le parseur de smiley entre les deux points et le 80)
Le 05/09/2018 à 12h13
Le 05/09/2018 à 12h55
Oui enfin du coup les services ne sont pas si cachés que ça
" />
Le 05/09/2018 à 13h53
Je me trompe peut-être, mais ne s’agirait-il pas d’une vulnérabilité déjà découverte (et exploitée) par Sarah Jamie Lewis dans ses OnionScan Reports ?
Voirhttps://mascherari.press/onionscan-report-july-2016-https-somewhere-sometimes/
ethttps://mascherari.press/onionscan-report-this-one-weird-trick-can-reveal-inform…