የMCS ደመና መድረክ የደህንነት ኦዲት

SkyShip አመሻሹ በ SeerLight

ማንኛውንም አገልግሎት መገንባት የግድ በፀጥታ ላይ የማያቋርጥ ሥራን ያካትታል. ደህንነት የማያቋርጥ ትንተና እና የምርት ደህንነት ማሻሻል፣ ስለ ተጋላጭነት ዜና መከታተል እና ሌሎችንም የሚያካትት ቀጣይ ሂደት ነው። ኦዲቶችን ጨምሮ። ኦዲት የሚካሄደው በቤት ውስጥም ሆነ በውጭ ባለሞያዎች ነው, እነሱ በፕሮጀክቱ ውስጥ ስላልተዘፈቁ እና ክፍት አእምሮ ስላላቸው ለደህንነት ጥበቃ ሊረዱ ይችላሉ.

ጽሑፉ የ Mail.ru Cloud Solutions (MCS) ቡድን የደመና አገልግሎትን እንዲፈትሽ እና ስላገኙት ነገር ስለረዱት ውጫዊ ባለሙያዎች ስለዚህ በጣም ቀጥተኛ እይታ ነው። እንደ “ውጫዊ ኃይል”፣ ኤም ሲ ኤስ በመረጃ ደህንነት ክበቦች ውስጥ ባለው ከፍተኛ እውቀት የሚታወቀውን የዲጂታል ደህንነት ኩባንያን መርጧል። እና በዚህ ጽሑፍ ውስጥ እንደ ውጫዊ ኦዲት አካል ሆነው የተገኙ አንዳንድ አስደሳች ድክመቶችን እንመረምራለን - ስለዚህ የራስዎን የደመና አገልግሎት ሲፈጥሩ ተመሳሳይ መሰንጠቅን ያስወግዱ።

የምርጥ ውጤቶች

Mail.ru የደመና መፍትሄዎች (ኤም.ሲ.ኤስ.) በደመና ውስጥ ምናባዊ መሠረተ ልማት ለመገንባት መድረክ ነው። IaaS፣ PaaS እና ለገንቢዎች ዝግጁ የሆኑ የመተግበሪያ ምስሎች የገበያ ቦታን ያካትታል። የኤምሲኤስ አርክቴክቸርን ከግምት ውስጥ በማስገባት የምርቱን ደህንነት በሚከተሉት ቦታዎች ማረጋገጥ አስፈላጊ ነበር፡-

• የቨርቹዋል አከባቢን መሠረተ ልማት መጠበቅ: hypervisors, Routing, Firewalls;
• የደንበኞች ምናባዊ መሠረተ ልማት ጥበቃ: እርስ በርስ መገለል, አውታረ መረብን ጨምሮ, በ SDN ውስጥ የግል አውታረ መረቦች;
• OpenStack እና ክፍት ክፍሎቹ;
• የራሳችን ንድፍ S3;
• IAM: የባለብዙ ተከራይ ፕሮጀክቶች ከአርአያነት ጋር;
• ራዕይ (የኮምፒዩተር እይታ): ከምስሎች ጋር ሲሰሩ ኤፒአይዎች እና ድክመቶች;
• የድር በይነገጽ እና ክላሲክ የድር ጥቃቶች;
• የ PaaS አካላት ተጋላጭነቶች;
• የሁሉም አካላት ኤፒአይ።

ምናልባት ለቀጣይ ታሪክ አስፈላጊ የሆነው ያ ብቻ ነው።

ምን ዓይነት ሥራ ተከናውኗል እና ለምን አስፈለገ?

የደኅንነት ኦዲት ዓላማው የግል መረጃን ወደ ማፍሰስ፣ ሚስጥራዊ መረጃዎችን ወደመቀየር ወይም የአገልግሎት አቅርቦት መቋረጥ ሊያስከትሉ የሚችሉ ተጋላጭነቶችን እና የውቅረት ስህተቶችን ለመለየት ነው።

በአማካይ ከ1-2 ወራት በሚቆየው ስራ ኦዲተሮች የአጥቂዎችን ድርጊት ይደግማሉ እና በተመረጠው አገልግሎት ደንበኛው እና የአገልጋይ ክፍሎች ላይ ተጋላጭነቶችን ይፈልጉ። በኤምሲኤስ የደመና መድረክ ኦዲት አውድ ውስጥ፣ የሚከተሉት ግቦች ተለይተዋል፡

1. በአገልግሎቱ ውስጥ የማረጋገጫ ትንተና. በዚህ ክፍል ውስጥ ያሉ ተጋላጭነቶች ወዲያውኑ ወደ ሌሎች ሰዎች መለያ ለመግባት ይረዳሉ።
2. በተለያዩ መለያዎች መካከል ያለውን የአርአያነት እና የመዳረሻ ቁጥጥርን በማጥናት ላይ። ለአጥቂ፣ የሌላ ሰው ምናባዊ ማሽንን የማግኘት ችሎታ የሚፈለግ ግብ ነው።
3. የደንበኛ ጎን ተጋላጭነቶች። XSS/CSRF/CRLF/ወዘተ ሌሎች ተጠቃሚዎችን በተንኮል አዘል አገናኞች ማጥቃት ይቻላል?
4. የአገልጋይ ጎን ተጋላጭነቶች፡ RCE እና ሁሉም አይነት መርፌዎች (SQL/XXE/SSRF እና የመሳሰሉት)። የአገልጋይ ተጋላጭነቶች በጥቅሉ ለማግኘት በጣም አስቸጋሪ ናቸው፣ ነገር ግን በአንድ ጊዜ ብዙ ተጠቃሚዎችን ወደ መስማማት ያመራሉ::
5. በኔትወርኩ ደረጃ የተጠቃሚውን ክፍል ማግለል ትንተና። ለአጥቂ፣ የመነጠል እጦት በሌሎች ተጠቃሚዎች ላይ የሚደርሰውን የጥቃት ወለል በእጅጉ ይጨምራል።
6. የንግድ ሎጂክ ትንተና. ንግዶችን ማታለል እና ምናባዊ ማሽኖችን በነጻ መፍጠር ይቻላል?

በዚህ ፕሮጀክት ውስጥ በ "Gray-box" ሞዴል መሰረት ሥራ ተከናውኗል-ኦዲተሮች ከአገልግሎቱ ጋር ከተራ ተጠቃሚዎች መብቶች ጋር መስተጋብር ፈጥረዋል, ነገር ግን በከፊል የኤፒአይ ምንጭ ኮድ ነበራቸው እና ዝርዝሮችን ከገንቢዎች ጋር ለማብራራት እድል አግኝተዋል. ይህ አብዛኛውን ጊዜ በጣም ምቹ ነው, እና በተመሳሳይ ጊዜ በጣም እውነተኛ የስራ ሞዴል ነው ውስጣዊ መረጃ አሁንም በአጥቂ ሊሰበሰብ ይችላል, የጊዜ ጉዳይ ብቻ ነው.

ተጋላጭነቶች ተገኝተዋል

ኦዲተሩ የተለያዩ የክፍያ ጭነቶችን (ጥቃቱን ለመፈጸም የሚከፈለው ክፍያ) ወደ የዘፈቀደ ቦታዎች መላክ ከመጀመሩ በፊት ነገሮች እንዴት እንደሚሠሩ እና ምን ዓይነት ተግባራት እንደሚሰጡ መረዳት ያስፈልጋል። ይህ ምንም ፋይዳ የሌለው የአካል ብቃት እንቅስቃሴ ይመስላል ፣ ምክንያቱም በአብዛኛዎቹ የተጠኑ ቦታዎች ምንም ተጋላጭነቶች አይኖሩም። ነገር ግን የአፕሊኬሽኑን አወቃቀሩ እና የአሠራሩን አመክንዮ መረዳቱ ብቻ በጣም ውስብስብ የሆኑ የጥቃት ቫይረሶችን ለማግኘት ያስችላል።

አጠራጣሪ የሚመስሉ ወይም በሆነ መንገድ ከሌሎች በጣም የተለዩ ቦታዎችን ማግኘት አስፈላጊ ነው። እና የመጀመሪያው አደገኛ ተጋላጭነት በዚህ መንገድ ተገኝቷል.

አይዶር

IDOR (ደህንነቱ ያልተጠበቀ ቀጥተኛ ነገር ማጣቀሻ) ተጋላጭነቶች በንግድ አመክንዮ ውስጥ በጣም ከተለመዱት ተጋላጭነቶች ውስጥ አንዱ ነው ፣ ይህም አንድ ወይም ሌላ በትክክል መድረስ የማይፈቀድላቸው ዕቃዎችን ለማግኘት ያስችላል። የIDOR ተጋላጭነቶች የተለያየ የሂሳዊነት ደረጃ ስላለው ተጠቃሚ መረጃ የማግኘት እድልን ይፈጥራሉ።

ከIDOR አማራጮች አንዱ በእነዚህ ነገሮች ላይ የመዳረሻ መለያዎችን በማቀናበር በስርዓት ነገሮች (ተጠቃሚዎች ፣ የባንክ ሂሳቦች ፣ በግዢ ጋሪው ውስጥ ያሉ እቃዎች) እርምጃዎችን ማከናወን ነው። ይህ በጣም ወደማይታወቁ ውጤቶች ይመራል. ለምሳሌ, ከሌሎች ተጠቃሚዎች ሊሰርቁዋቸው የሚችሉትን የገንዘብ ላኪ መለያ የመተካት እድል.

በኤምሲኤስ ጉዳይ፣ ኦዲተሮች ደህንነታቸው ካልተጠበቁ ለዪዎች ጋር የተያያዘ የIDOR ተጋላጭነት አሁን አግኝተዋል። በተጠቃሚው የግል መለያ ውስጥ፣ የ UUID መለያዎች ማንኛውንም ነገር ለመድረስ ስራ ላይ ውለው ነበር፣ ይህም የደህንነት ባለሙያዎች እንደሚናገሩት በሚያስደንቅ ሁኔታ ደህንነቱ ያልተጠበቀ ይመስላል (ይህም ከጭካኔ ጥቃቶች የተጠበቁ)። ነገር ግን ለተወሰኑ አካላት በመደበኛነት ሊገመቱ የሚችሉ ቁጥሮች ስለመተግበሪያው ተጠቃሚዎች መረጃ ለማግኘት ጥቅም ላይ እንደሚውሉ ታወቀ። የተጠቃሚውን መታወቂያ በአንድ መቀየር፣ ጥያቄውን እንደገና መላክ እና ኤሲኤልን (የመዳረሻ ቁጥጥር ዝርዝር፣ የሂደቶች እና የተጠቃሚዎች የውሂብ መዳረሻ ህጎች) በማለፍ መረጃ ማግኘት ይቻል እንደነበር መገመት ትችላላችሁ ብዬ አስባለሁ።

የአገልጋይ ጎን ጥያቄ ፎርጀሪ (SSRF)

ስለ OpenSource ምርቶች ጥሩው ነገር የሚነሱትን ችግሮች ዝርዝር ቴክኒካዊ መግለጫዎች እና እድለኞች ከሆኑ የመፍትሄው መግለጫ ያላቸው እጅግ በጣም ብዙ መድረኮች አሏቸው። ነገር ግን ይህ ሳንቲም የመገለባበጥ ሁኔታ አለው፡ የታወቁ ድክመቶችም በዝርዝር ተገልጸዋል። ለምሳሌ፣ በOpenStack መድረክ ላይ ስለ ተጋላጭነቶች አስደናቂ መግለጫዎች አሉ። [XSS] и [SSRF], ይህም በሆነ ምክንያት ማንም ለመጠገን አይቸኩልም.

የመተግበሪያዎች የተለመደ ተግባር ተጠቃሚው ወደ አገልጋዩ አገናኝ የመላክ ችሎታ ነው ፣ እሱም አገልጋዩ ጠቅ የሚያደርግበት (ለምሳሌ ፣ ከተጠቀሰው ምንጭ ምስል ለማውረድ)። የደህንነት መሳሪያዎች ሊንኮቹን እራሳቸው ካላጣሩ ወይም ከአገልጋዩ ለተጠቃሚዎች የተመለሱ ምላሾችን ካላጣሩ, እንደዚህ አይነት ተግባር በአጥቂዎች በቀላሉ ሊጠቀሙበት ይችላሉ.

የ SSRF ተጋላጭነቶች የጥቃቱን እድገት በእጅጉ ሊያራምዱ ይችላሉ። አጥቂ የሚከተሉትን ሊያገኝ ይችላል

• ለተጠቃው የአካባቢያዊ አውታረመረብ የተገደበ መዳረሻ, ለምሳሌ, በተወሰኑ የኔትወርክ ክፍሎች ብቻ እና የተወሰነ ፕሮቶኮል በመጠቀም;
• ወደ አካባቢያዊ አውታረመረብ ሙሉ መዳረሻ, ከመተግበሪያው ደረጃ ወደ መጓጓዣ ደረጃ ዝቅ ማድረግ ከተቻለ እና በውጤቱም, በመተግበሪያው ደረጃ ሙሉ ጭነት ማስተዳደር;
• በአገልጋዩ ላይ የአካባቢያዊ ፋይሎችን የማንበብ መዳረሻ (ፋይሉ: /// እቅድ የሚደገፍ ከሆነ);
• እና ብዙ ተጨማሪ.

የ SSRF ተጋላጭነት በ OpenStack ውስጥ ለረጅም ጊዜ ይታወቃል ፣ እሱም በተፈጥሮው “ዓይነ ስውር” አገልጋዩን ሲያነጋግሩ ከእሱ ምላሽ አያገኙም ፣ ግን በጥያቄው ውጤት ላይ በመመስረት የተለያዩ አይነት ስህተቶች / መዘግየቶች ይቀበላሉ። . በዚህ መሠረት በውስጣዊው አውታረመረብ ውስጥ ባሉ አስተናጋጆች ላይ የወደብ ቅኝት ማድረግ ይችላሉ ፣ ከዚያ በኋላ ከሚመጡት ውጤቶች ሁሉ መገመት የለባቸውም። ለምሳሌ፣ አንድ ምርት ከኮርፖሬት አውታረመረብ ብቻ የሚገኝ የኋላ ቢሮ ኤፒአይ ሊኖረው ይችላል። በሰነድ (ስለ ውስጥ አዋቂዎች አይርሱ) አጥቂ የውስጥ ዘዴዎችን ለመድረስ SSRF መጠቀም ይችላል። ለምሳሌ ፣ ግምታዊ ጠቃሚ ዩአርኤሎች ዝርዝር ማግኘት ከቻሉ ፣ SSRF ን በመጠቀም እነሱን ማለፍ እና ጥያቄን ማስፈፀም ይችላሉ - በአንፃራዊነት ፣ ገንዘብን ከመለያ ወደ መለያ ያስተላልፉ ወይም ገደቦችን ይለውጡ።

በOpenStack ውስጥ የSSRF ተጋላጭነት ሲገኝ ይህ የመጀመሪያው አይደለም። ቀደም ባሉት ጊዜያት የ VM ISO ምስሎችን ከቀጥታ ማገናኛ ማውረድ ይቻል ነበር, ይህ ደግሞ ተመሳሳይ ውጤቶችን አስከትሏል. ይህ ባህሪ አሁን ከOpenStack ተወግዷል። በግልጽ ለማየት እንደሚቻለው ማህበረሰቡ ይህንን ለችግሩ በጣም ቀላል እና አስተማማኝ መፍትሄ አድርጎ ይመለከተው ነበር።

እና ውስጥ ይሄ በይፋ የሚገኝ ሪፖርት ከ HackerOne አገልግሎት (h1)፣ ከአሁን በኋላ ማየት የተሳነውን SSRF ብዝበዛ ለምሳሌ ሜታዳታ የማንበብ ችሎታ ወደ ሁሉም የ Shopify መሠረተ ልማት የ Root መዳረሻን ያመጣል።

በኤም.ሲ.ኤስ፣ የSSRF ተጋላጭነቶች ተመሳሳይ ተግባር ባላቸው ሁለት ቦታዎች ተገኝተዋል፣ ነገር ግን በፋየርዎል እና በሌሎች ጥበቃዎች ምክንያት ለመጠቀም ፈጽሞ የማይቻል ነበር። በአንድም ሆነ በሌላ መንገድ፣ የኤምሲኤስ ቡድን ይህንን ችግር በማንኛውም ሁኔታ አስተካክሏል፣ ማህበረሰቡን ሳይጠብቅ።

ዛጎሎችን ከመጫን ይልቅ XSS

በመቶዎች የሚቆጠሩ ጥናቶች ቢጻፉም ከዓመት ዓመት XSS (የመስቀል ጣቢያ ስክሪፕት) ጥቃት አሁንም ከፍተኛ ነው። በተደጋጋሚ ያጋጠሙ የድር ተጋላጭነት (ወይም ማጥቃት?).

ፋይል ሰቀላ ለማንኛውም የደህንነት ተመራማሪ ተወዳጅ ቦታ ነው። ብዙውን ጊዜ የዘፈቀደ ስክሪፕት (asp/jsp/php) መጫን እና የስርዓተ ክወና ትዕዛዞችን መፈፀም እንደሚችሉ በፔንቴስተር ቃላት ውስጥ - “የጭነት ቅርፊት”። ነገር ግን የእነዚህ ድክመቶች ታዋቂነት በሁለቱም አቅጣጫዎች ይሠራል: ይታወሳሉ እና መፍትሄዎች በእነሱ ላይ ይዘጋጃሉ, ስለዚህም በቅርብ ጊዜ "ሼል የመጫን" እድል ወደ ዜሮ ይቀየራል.

አጥቂው ቡድን (በዲጂታል ሴኩሪቲ የተወከለው) እድለኛ ነበር። እሺ፣ በ MCS በአገልጋዩ በኩል የወረዱት ፋይሎች ይዘቶች ተረጋግጠዋል፣ ምስሎች ብቻ ተፈቅደዋል። ግን SVG እንዲሁ ምስል ነው። SVG ምስሎች እንዴት አደገኛ ሊሆኑ ይችላሉ? ምክንያቱም የጃቫ ስክሪፕት ቅንጥቦችን ወደ እነርሱ መክተት ይችላሉ!

የወረዱት ፋይሎች ለሁሉም የኤምሲኤስ አገልግሎት ተጠቃሚዎች ይገኛሉ ይህም ማለት ሌሎች የደመና ተጠቃሚዎችን ማለትም አስተዳዳሪዎችን ማጥቃት ይቻላል ማለት ነው።

የXSS ጥቃትን በመጠቀም የማስገር መግቢያ ቅጽ ምሳሌ

የXSS ጥቃት ብዝበዛ ምሳሌዎች፡-

• ለምን ክፍለ ጊዜ ለመስረቅ ሞክር (በተለይ ከአሁን ጀምሮ ኤችቲቲፒ-ብቻ ኩኪዎች በሁሉም ቦታ ይገኛሉ፣ js ስክሪፕቶችን በመጠቀም ከስርቆት የተጠበቁ)፣ የተጫነው ስክሪፕት ወዲያውኑ የንብረት ኤፒአይውን መድረስ ከቻለ? በዚህ አጋጣሚ ክፍያው የ XHR ጥያቄዎችን በመጠቀም የአገልጋይ ውቅረትን ለመቀየር ለምሳሌ የአጥቂውን ይፋዊ ኤስኤስኤች ቁልፍ ማከል እና የኤስኤስኤችኤስ መዳረሻ ወደ አገልጋዩ ማግኘት ይችላል።
• የሲኤስፒ ፖሊሲ (የይዘት ጥበቃ ፖሊሲ) ጃቫ ስክሪፕት እንዳይከተብ የሚከለክል ከሆነ አጥቂ ያለ እሱ ማለፍ ይችላል። ንጹህ ኤችቲኤምኤልን በመጠቀም ለጣቢያው የውሸት የመግቢያ ቅጽ ይፍጠሩ እና የአስተዳዳሪውን ይለፍ ቃል በዚህ የላቀ አስጋሪ መስረቅ የተጠቃሚው የማስገር ገጽ በተመሳሳይ ዩአርኤል ያበቃል እና ለተጠቃሚው እሱን ለማግኘት የበለጠ ከባድ ነው።
• በመጨረሻም, አጥቂው ማዘጋጀት ይችላል ደንበኛ DoS - ከ 4 ኪባ በላይ ኩኪዎችን ያዘጋጁ። ተጠቃሚው አገናኙን አንድ ጊዜ መክፈት ብቻ ነው የሚያስፈልገው፣ እና ተጠቃሚው አሳሹን ለማፅዳት እስኪያስብ ድረስ አጠቃላይ ጣቢያው ተደራሽ አይሆንም፡ በአብዛኛዎቹ ጉዳዮች የድር አገልጋዩ እንደዚህ አይነት ደንበኛን ለመቀበል ፈቃደኛ አይሆንም።

ሌላ የተገኘ XSS ምሳሌ እንይ፣ በዚህ ጊዜ ይበልጥ ብልህ በሆነ ብዝበዛ። የኤምሲኤስ አገልግሎት የፋየርዎል መቼቶችን በቡድን እንድታጣምር ይፈቅድልሃል። የቡድኑ ስም XSS የተገኘበት ነበር። ልዩነቱ የሕጎቹን ዝርዝር ሲመለከቱ ሳይሆን ቡድንን በሚሰርዙበት ጊዜ ቬክተሩ ወዲያውኑ ያልተቀሰቀሰ መሆኑ ነበር፡-

ያም ማለት ሁኔታው ​​የሚከተለው ሆኖ ተገኝቷል-አጥቂ በስም ውስጥ "ጭነት" ያለው የፋየርዎል ህግን ይፈጥራል, አስተዳዳሪው ከጥቂት ጊዜ በኋላ ያስተውለው እና የመሰረዝ ሂደቱን ይጀምራል. እና ይሄ ተንኮል አዘል JS የሚሰራበት ነው.

ለኤምሲኤስ ገንቢዎች በወረዱ የSVG ምስሎች (መተው የማይችሉ ከሆነ) XSSን ለመከላከል የዲጂታል ሴኩሪቲ ቡድን የሚከተለውን ምክር ሰጥቷል።

• ከ"ኩኪዎች" ጋር ምንም ግንኙነት በሌለው የተለየ ጎራ ላይ በተጠቃሚዎች የተሰቀሉ ፋይሎችን ያስቀምጡ። ስክሪፕቱ በተለየ ጎራ አውድ ውስጥ ይፈጸማል እና ለኤምሲኤስ ስጋት አይፈጥርም።
• በአገልጋዩ የኤችቲቲፒ ምላሽ፣ “የይዘት-አቅርቦት፡ አባሪ” ራስጌ ይላኩ። ከዚያ ፋይሎቹ በአሳሹ ይወርዳሉ እና አይተገበሩም.

በተጨማሪም፣ የXSS የብዝበዛ አደጋዎችን ለመቀነስ ለገንቢዎች አሁን ብዙ መንገዶች አሉ።

• የ"HTTP ብቻ" ባንዲራ በመጠቀም የክፍለ-ጊዜውን "ኩኪዎች" ራስጌዎች ለተንኮል አዘል ጃቫ ስክሪፕት ተደራሽ እንዳይሆኑ ማድረግ ይችላሉ.
• በትክክል የተተገበረ የሲኤስፒ ፖሊሲ አንድ አጥቂ XSSን መበዝበዝ የበለጠ ከባድ ያደርገዋል።
• እንደ Angular ወይም React ያሉ ዘመናዊ የአብነት ሞተሮች የተጠቃሚውን መረጃ ወደ ተጠቃሚው አሳሽ ከማውጣቱ በፊት በራስ-ሰር ያጸዳሉ።

ባለ ሁለት ደረጃ የማረጋገጫ ድክመቶች

የመለያ ደህንነትን ለማሻሻል ተጠቃሚዎች ሁል ጊዜ 2FA (ባለሁለት ደረጃ ማረጋገጫ) እንዲያነቁ ይመከራሉ። በእርግጥ ይህ የተጠቃሚው ምስክርነቶች ከተጣሱ አጥቂን አገልግሎት እንዳያገኝ ለመከላከል ውጤታማ ዘዴ ነው።

ግን ሁለተኛ የማረጋገጫ ሁኔታን መጠቀም ሁልጊዜ የመለያ ደህንነትን ያረጋግጣል? በ2FA ትግበራ ውስጥ የሚከተሉት የደህንነት ጉዳዮች አሉ።

• የ OTP ኮድ (የአንድ ጊዜ ኮዶች) የብሩህ ኃይል ፍለጋ። ምንም እንኳን የአሰራር ቀላልነት ቢኖርም ፣ እንደ OTP brute ኃይል መከላከያ እጥረት ያሉ ስህተቶች በትላልቅ ኩባንያዎች ያጋጥሟቸዋል- ለስላሳ መያዣ, የፌስቡክ ጉዳይ.
• ደካማ ትውልድ አልጎሪዝም, ለምሳሌ የሚቀጥለውን ኮድ የመተንበይ ችሎታ.
• ልክ እንደ የሌላ ሰው ኦቲፒ በስልክዎ ላይ የመጠየቅ ችሎታ ያሉ ምክንያታዊ ስህተቶች ነበር ከ Shopify.

በኤምሲኤስ ጉዳይ፣ 2FA የሚተገበረው በGoogle አረጋጋጭ እና ነው። ባለ ሁለትዮሽ. ፕሮቶኮሉ ራሱ በጊዜ ተፈትኗል, ነገር ግን በመተግበሪያው በኩል የኮድ ማረጋገጫ ትግበራ መፈተሽ ተገቢ ነው.

MCS 2FA በተለያዩ ቦታዎች ጥቅም ላይ ይውላል፡-

• ተጠቃሚውን ሲያረጋግጥ. ከጭካኔ ኃይል ጥበቃ አለ፡ ተጠቃሚው የአንድ ጊዜ የይለፍ ቃል ለማስገባት ጥቂት ሙከራዎች ብቻ ነው ያለው፣ ከዚያ ግብአቱ ለተወሰነ ጊዜ ታግዷል። ይህ OTP በጉልበት የመምረጥ እድልን ይከለክላል።
• 2FA ለማከናወን ከመስመር ውጭ የመጠባበቂያ ኮዶችን ሲያመነጭ እና እሱን ማሰናከል። እዚህ ምንም የጭካኔ መከላከያ አልተተገበረም, ይህም ለመለያው የይለፍ ቃል እና ንቁ ክፍለ ጊዜ ካለህ, የመጠባበቂያ ኮዶችን እንደገና ለማደስ ወይም 2FA ን ሙሉ በሙሉ ለማሰናከል አስችሏል.

የመጠባበቂያ ኮዶች በኦቲፒ መተግበሪያ በተፈጠሩት የሕብረቁምፊ እሴቶች ውስጥ የሚገኙ መሆናቸውን ከግምት በማስገባት በአጭር ጊዜ ውስጥ ኮዱን የማግኘት ዕድሉ ከፍተኛ ነበር።

"Burp: Intruder" መሳሪያን በመጠቀም 2FA ን ለማሰናከል ኦቲፒን የመምረጥ ሂደት

ውጤት

በአጠቃላይ፣ MCS እንደ ምርት ደህንነቱ የተጠበቀ ይመስላል። በኦዲቱ ወቅት፣ ተቀጣሪው ቡድን የደንበኛ ቪኤም እና መረጃቸውን ማግኘት አልቻለም፣ እና የተገኙት ድክመቶች በኤምሲኤስ ቡድን በፍጥነት ተስተካክለዋል።

እዚህ ግን ደህንነት ቀጣይነት ያለው ስራ መሆኑን ልብ ሊባል ይገባል. አገልግሎቶቹ ቋሚ አይደሉም, በየጊዜው እየተሻሻለ ነው. እና ያለ ተጋላጭነት አንድን ምርት ሙሉ በሙሉ ማልማት አይቻልም። ነገር ግን በጊዜ ውስጥ ሊያገኟቸው እና የመድገም እድልን መቀነስ ይችላሉ.

አሁን በኤምሲኤስ ውስጥ ያሉት ሁሉም የተገለጹት ድክመቶች ቀድሞውኑ ተስተካክለዋል። እና የአዲሶቹን ቁጥር በትንሹ ለማቆየት እና ህይወታቸውን ለመቀነስ የመድረክ ቡድኑ ይህንን ማድረጉን ይቀጥላል፡-

• በየጊዜው የውጭ ኩባንያዎችን ኦዲት ያካሂዳል;
• መደገፍ እና ተሳትፎ ማዳበር በ Mail.ru ቡድን Bug Bounty ፕሮግራም ውስጥ;
• በደህንነት ውስጥ መሳተፍ. 🙂

ምንጭ: hab.com