0x00 漏洞背景
Qt是一个跨平台的C++应用程序开发框架,用于创建图形用户界面(GUI)应用程序、命令行工具、嵌入式系统和网络应用等各种类型的应用。
Qt框架包含的Qt Network(网络模块),提供了QNetworkAccessManager 类,该类允许应用程序发送网络请求和接收回复。其在处理响应时,会根据服务器发送的“Strict-Transport-Security”的响应头来更新HSTS策略。
0x01 漏洞信息
5.09
Qt开发人员Mårten Nordheim提交漏洞修复的源码合并。
5.10
Qt漏洞修复相关的代码合并通过。
5.28
该漏洞被CVE收录,其编号为CVE-2023-32762。
0x02 漏洞影响
该漏洞存在Qt 5.15.14版本之前;6.2.9之前的6.X版本以及6.5.1之前的6.3.X-6.5.X版本。成因是Qt错误的解析了HSTS header,当大小写不匹配的时候,即使服务器明确禁止,客户端也会使用未加密的连接。
0x03 漏洞分析
首先需要介绍HSTS(HTTP Strict Transport Security),这是一种WEB安全策略。用来防止中间人和SSL/TLS剥离攻击。HSTS通过强制客户端(如Web浏览器)始终使用HTTPS来保护通信,即使用户手动输入的是HTTP网址。它通过在服务器的响应头中添加"Strict-Transport-Security"字段来实现。一旦浏览器收到带有HSTS头的响应,它将记住该网站必须通过HTTPS进行访问,并在未来的请求中自动将所有HTTP请求重定向到HTTPS。这样可以防止攻击者利用恶意重定向将用户导向不安全的HTTP连接。
随后进行漏洞分析与验证,笔者选择的是Qt6.2.4版本。
用来进行HSTS测试的网址为:hsts.badssl.com。
下述代码为使用QNetworkAccessManager对象发起HTTPS请求,该网站以HTTPS请求的时候会返回Strict-Transport-Security响应头。Qt会隐式的调用QHstsHeaderParser类解析HSTS header随后更新QHstsCache中的策略。
manager.strictTransportSecurityHosts函数能获取当前的HSTS策略。当执行到QObject::connect内时,可发现temp中添加了一项策略。
随后我们使用的http://hsts.badssl.com/会自动换成https://hsts.badssl.com/。由于本身QNetworkAccessManager发送多个网络请求的异步性,这里我们使用如下代码手动添加策略:
// 添加HSTS策略
QListhstsPolicies;
QHstsPolicy policy;
policy.setHost("hsts.badssl.com");
policy.setIncludesSubDomains(true);
QDateTime expiry = QDateTime::currentDateTime().addYears(1); // 设置过期时间为1年后
policy.setExpiry(expiry);
hstsPolicies.append(policy);
manager.addStrictTransportSecurityHosts(hstsPolicies);
之后发送HTTP请求:
此时的响应头是HTTPS请求的响应头。
后续客户端对该域名服务器的任何HTTP请求都将被隐式的转换成HTTPS请求。
但是当服务器返回的响应头的HSTS头部是Strict-Transport-security,此时Security的S变成了s。这时客户端便不会引入新的策略,从而导致了继续使用明文协议HTTP。
Qt是一个开源的软件,可以去定位相关的代码,笔者在netword/access/qhsts.cpp中发现了产生漏洞的代码。代码使用了==将响应头字段与Strict-Transport-security进行了比较,导致了大小写不匹配时,HSTS策略引入失败。
0x04 修复方法
Qt开发者对源码的修复如下:
-
当匹配Strict-Transport-Security字段的时候,使用大小写不敏感进行匹配。
-
引入全小写的测试用例进行测试。
用户可以通过使用新版本的Qt预编译库进行漏洞修复。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图 ![](https://img-blog.csdnimg.cn/direct/424e38ca2a4f4d9f8309ef122fbcf07a.png)
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取