CVE-2023-27524 Apache Superset Auth Bypass|附检测工具

本文介绍: 简单来说session就是浏览器与服务器交互的门禁，通过 session 可以验证访问者的身份信息，大多数的session是保存在服务器端的，但是也有少部分保存在客户端的s es s ion，比如下面要说的flask 框架。Ap a ch e Super set是基于 python中的flask web 框架编写的，flask是一个 python 轻量级 web 框架，它的s es s ion 存储在客户端的cookie 字段中。注：文章所涉及的技术内容仅供参考，利用本文所提供的信息造成的直接或间接后果和损失，均由使用者自行承担。

Ap a ch e Super set是一个开源数据可视化和探索工具。Apac he Super set 版本（包括 2.0.1）中的会话验证攻击。没有根据安装说明更改默认配置的SECRET_KEY的安装允许攻击者验证和访问未经授权的资源。这不会影响更改了SECRET_KEY配置默认值的Super set 管理员。

受影响版本
Apac he Superse t <= 2.0.1
不受影响版本
Apac he Superse t &g t;= 2.1.0

CVSS 评分
在这里插入图片描述

在网络应用中session被称为“会话控制”，Ses si on 对象存储特定用户会话所需的属性及配置信息。简单来说ses si on就是浏览器与服务器交互的门禁，通过ses si on 可以验证访问者的身份信息，大多数的se ss i on是保存在服务器端的，但是也有少部分保存在客户端的se ss i on，比如下面要说的flask 框架。
Apac he Superset是基于 python中的flask web 框架编写的，flask是一个 python 轻量级 web 框架，它的sessi on 存储在客户端的cookie 字段中。为了防止session篡改，flask进行了如下的处理（代码存放在flask 模块中sessions.py 文件中）：

"""The default session interface that stores sessions in signed cookies
through the :mod:`itsdangerous` module.
"""

#: the salt that should be applied on top of the secret key for the
#: signing of cookie based sessions.
salt = "cookie-session"
#: the hash function to use for the signature. The default is sha1
digest_method = staticmethod(hashlib.sha1)
#: the name of the itsdangerous supported key derivation. The default
#: is hmac.
key_derivation = "hmac"
#: A python serializer for the payload. The default is a compact
#: JSON derived serializer with support for some extra Python types
#: such as datetime objects or tuples.
serializer = session_json_serializer
session_class = SecureCookieSession

def get_signing_serializer(self, app):
if not app.secret_key:
return None
signer_kwargs = dict(
key_derivation=self.key_derivation, digest_method=self.digest_method
)
return URLSafeTimedSerializer(
app.secret_key,
salt=self.salt,
serializer=self.serializer,
signer_kwargs=signer_kwargs,
)
……
……

seesion通过序列化对键以及键值进行进行序列化，通过hmacsha1进行签名，最终生成一串如下字符串：

eyJjc3JmX3Rva2VuIjoiNzY2ZGY1ZDJlNDAyYjg2NWY1ZmM4NjBlYTBkMjUzY2Y3YzE2YjIwNiIsImxvY2FsZSI6ImVuIn0.ZFXM4g.t0nkAofl_yo0bvR2ObbFVWpW5FE

通过’.’隔开的3段内容，第一段其实就是base64 encode后的内容，但去掉了填充用的等号，若decode 失败，自己需要补上1-3个等号补全。中间内容为时间戳，在flask中时间戳若超过31天则视为无效。最后一段则是安全签名，将sessiondata，时间戳，和flask的sec re tkey通过sha1运算的结果。服务端每次收到 cookie后，会将cookie中前两段取出和sec re tkey做sha1运算，若结果与cookie 第三段不一致则视为无效。
Session生成的具体流程为：json->zlib->base64后的源字符串.时间戳.hmac 签名信息。
该漏洞的本质是SECRET_KEY的泄露。Flask-unsign工具可以爆破会话中的session是否是由弱签名SECRET_KEY加密生成的。
在这里插入图片描述

该漏洞作者在2021年就在Superset配置指南
(https://superset.apache.org/docs/installation/config uring-superset/)中发现了默认的SECRET_KEY：
x02x01thisismy sc retkeyx01x02eyyh，现在已经换成了YOUR_OWN_RANDOM_GENERATED_SECRET_KEY。

更多key：
在这里插入图片描述

收集了一下（有更多欢迎留言补充）：

x02x01thisismyscretkeyx01x02\e\y\y\h（version < 1.4.1）
CHANGE_ME_TO_A_COMPLEX_RANDOM_SECRET（version >= 1.4.1）
thisISaSECRET_1234（deployment template）
YOUR_OWN_RANDOM_GENERATED_SECRET_KEY（documentation）
TEST_NON_DEV_SECRET（docker compose）
CHANGE_ME_SECRET_KEY

D:python39libsite-packagesflask_unsign_wordlistwordlistsall.txt

显示所有内容

声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。

漏洞 描述

漏洞 影响

漏洞 复现

漏洞 修复

发表回复取消回复

相关文章

发表回复 取消回复

发表回复取消回复