Kev soj ntsuam kev nyab xeeb ntawm MCS huab platform

SkyShip Dusk los ntawm SeeerLight

Tsim ib qho kev pabcuam yuav tsum suav nrog kev ua haujlwm tas li ntawm kev ruaj ntseg. Kev ruaj ntseg yog cov txheej txheem txuas ntxiv uas suav nrog kev txheeb xyuas tas li thiab txhim kho cov khoom ruaj ntseg, saib xyuas cov xov xwm hais txog qhov tsis zoo thiab ntau ntxiv. suav nrog kev tshuaj xyuas. Kev soj ntsuam tau ua tiav ob qho tib si hauv tsev thiab los ntawm cov kws tshaj lij sab nraud, uas tuaj yeem pab txhawb kev nyab xeeb vim tias lawv tsis nkag rau hauv qhov project thiab muaj lub siab qhib.

Cov kab lus no yog hais txog qhov kev pom ncaj tshaj plaws ntawm cov kws tshaj lij sab nraud uas tau pab pab pawg Mail.ru Cloud Solutions (MCS) sim cov kev pabcuam huab, thiab txog qhov lawv pom. Raws li "kev quab yuam sab nraud," MCS xaiv lub tuam txhab Digital Security, paub txog nws cov kev txawj ntse hauv cov ntaub ntawv kev ruaj ntseg. Thiab nyob rau hauv tsab xov xwm no peb yuav txheeb xyuas qee qhov tsis txaus ntseeg uas pom tau ua ib feem ntawm kev tshawb xyuas sab nraud - kom koj tsis txhob muaj tib lub rake thaum koj tsim koj tus kheej huab kev pabcuam.

Описание продукта

Mail.ru Huab Solutions (MCS) yog lub platform rau kev tsim kho vaj tsev virtual hauv huab. Nws suav nrog IaaS, PaaS, thiab qhov chaw ua lag luam ntawm cov duab npaj ua tiav rau cov neeg tsim khoom. Ua tsaug rau MCS architecture, nws yuav tsum tau kuaj xyuas kev nyab xeeb ntawm cov khoom hauv qab no:

• tiv thaiv cov infrastructure ntawm virtualization ib puag ncig: hypervisors, routing, firewalls;
• kev tiv thaiv ntawm cov neeg siv khoom 'virtual infrastructure: kev sib cais ntawm ib leeg, suav nrog kev sib koom tes, kev sib koom tes ntiag tug hauv SDN;
• OpenStack thiab nws cov khoom qhib;
• S3 ntawm peb tus kheej tsim;
• IAM: ntau tus neeg xauj tsev nrog tus qauv;
• Lub zeem muag (lub zeem muag hauv computer): APIs thiab qhov tsis zoo thaum ua haujlwm nrog cov duab;
• web interface thiab classic web tawm tsam;
• vulnerabilities ntawm PaaS Cheebtsam;
• API ntawm tag nrho cov khoom.

Tej zaum qhov ntawd yog txhua yam tseem ceeb rau keeb kwm yav dhau los.

Dab tsi ua haujlwm tau ua thiab vim li cas thiaj xav tau?

Kev soj ntsuam kev ruaj ntseg yog tsom rau kev txheeb xyuas qhov tsis zoo thiab kev teeb tsa tsis raug uas tuaj yeem ua rau cov ntaub ntawv tus kheej xau, hloov kho cov ntaub ntawv rhiab, lossis cuam tshuam ntawm kev muaj kev pabcuam.

Thaum lub sijhawm ua haujlwm, uas kav ntev li ntawm 1-2 lub hlis, cov neeg tshawb xyuas rov ua qhov kev ua ntawm cov neeg muaj peev xwm tawm tsam thiab nrhiav qhov tsis zoo hauv cov neeg siv khoom thiab cov khoom siv ntawm cov kev pabcuam xaiv. Hauv cov ntsiab lus ntawm kev tshuaj xyuas ntawm MCS huab platform, cov hom phiaj hauv qab no tau txheeb xyuas:

1. Kev txheeb xyuas qhov tseeb hauv kev pabcuam. Vulnerabilities nyob rau hauv cov khoom no yuav pab tau tam sim ntawd nkag mus rau hauv lwm tus neeg cov nyiaj.
2. Kawm txog lub luag haujlwm tus qauv thiab kev tswj hwm ntawm cov nyiaj sib txawv. Rau tus neeg tawm tsam, muaj peev xwm nkag mus rau lwm tus lub tshuab virtual yog lub hom phiaj xav tau.
3. Client side vulnerabilities. XSS / CSRF / CRLF / thiab lwm yam. Nws puas tuaj yeem tawm tsam lwm tus neeg siv los ntawm kev sib txuas tsis zoo?
4. Server side vulnerabilities: RCE thiab txhua yam kev txhaj tshuaj (SQL / XXE / SSRF thiab lwm yam). Server vulnerabilities feem ntau nyuaj nrhiav, tab sis lawv ua rau muaj kev cuam tshuam ntawm ntau tus neeg siv ib zaug.
5. Kev txheeb xyuas cov neeg siv ntu cais ntawm qib network. Rau tus neeg tawm tsam, qhov tsis muaj kev sib cais zoo heev ua rau qhov chaw tawm tsam tawm tsam lwm tus neeg siv.
6. Kev lag luam logic tsom xam. Nws puas tuaj yeem dag kev lag luam thiab tsim cov tshuab virtual dawb?

Hauv qhov project no, kev ua haujlwm tau ua tiav raws li "Grey-box" qauv: cov neeg soj ntsuam cuam tshuam nrog cov kev pabcuam nrog cov cai ntawm cov neeg siv zoo tib yam, tab sis qee qhov muaj cov cai ntawm API thiab muaj sijhawm los piav qhia cov ntsiab lus nrog cov neeg tsim khoom. Qhov no feem ntau yog qhov yooj yim tshaj plaws, thiab tib lub sijhawm ua haujlwm zoo heev: cov ntaub ntawv sab hauv tseem tuaj yeem sau los ntawm tus neeg tawm tsam, nws tsuas yog lub sijhawm.

Vulnerabilities pom

Ua ntej tus neeg soj ntsuam pib xa ntau yam payloads (lub payload siv los ua qhov kev tawm tsam) mus rau qhov chaw random, nws yuav tsum nkag siab tias cov khoom ua haujlwm li cas thiab kev ua haujlwm zoo li cas. Nws yuav zoo li tias qhov no yog ib qho kev tawm dag zog tsis zoo, vim tias feem ntau ntawm cov chaw kawm yuav tsis muaj qhov tsis zoo. Tab sis tsuas yog nkag siab txog cov qauv ntawm daim ntawv thov thiab cov laj thawj ntawm nws txoj haujlwm yuav ua rau nws muaj peev xwm nrhiav tau cov vectors nyuaj tshaj plaws.

Nws yog ib qho tseem ceeb kom nrhiav tau qhov chaw uas zoo li tsis txaus ntseeg lossis txawv ntawm lwm tus hauv qee txoj kev. Thiab thawj qhov tsis txaus ntseeg tau pom nyob rau hauv txoj kev no.

IDOR

IDOR (Insecure Direct Object Reference) vulnerabilities yog ib qho ntawm qhov tsis zoo tshaj plaws hauv kev lag luam logic, uas tso cai rau ib lossis lwm tus tuaj yeem nkag mus rau cov khoom uas nkag tsis tau tiag tiag. IDOR vulnerabilities tsim muaj peev xwm tau txais cov ntaub ntawv hais txog tus neeg siv ntawm qhov sib txawv ntawm qhov kev thuam.

Ib qho ntawm cov kev xaiv IDOR yog ua haujlwm nrog cov khoom siv (cov neeg siv khoom, cov nyiaj hauv tuam txhab nyiaj, cov khoom hauv lub tawb nqa khoom) los ntawm kev siv cov cim nkag mus rau cov khoom no. Qhov no ua rau muaj qhov tshwm sim tsis zoo tshaj plaws. Piv txwv li, qhov muaj peev xwm hloov pauv tus account ntawm tus xa nyiaj, uas koj tuaj yeem nyiag lawv los ntawm lwm tus neeg siv.

Nyob rau hauv rooj plaub ntawm MCS, cov neeg tshawb xyuas tsuas yog nrhiav pom qhov tsis zoo ntawm IDOR cuam tshuam nrog cov cim tsis ruaj ntseg. Hauv tus neeg siv tus account tus kheej, UUID cov cim tau siv los nkag rau txhua yam khoom, uas zoo li, raws li cov kws paub txog kev ruaj ntseg hais tias, tsis muaj kev nyab xeeb zoo (uas yog, tiv thaiv los ntawm kev tawm tsam brute force). Tab sis rau qee qhov chaw, nws tau tshawb pom tias cov lej ntsuas tau raug siv los muab cov ntaub ntawv hais txog cov neeg siv ntawm daim ntawv thov. Kuv xav tias koj tuaj yeem kwv yees tias nws tuaj yeem hloov pauv tus neeg siv ID los ntawm ib tus, xa daim ntawv thov dua thiab yog li tau txais cov ntaub ntawv hla dhau ACL (cov ntawv tswj xyuas, cov ntaub ntawv nkag mus rau cov txheej txheem thiab cov neeg siv).

Server Side Request Forgery (SSRF)

Qhov zoo ntawm OpenSource cov khoom yog tias lawv muaj ntau lub rooj sab laj nrog cov ncauj lus kom ntxaws txog cov teeb meem uas tshwm sim thiab, yog tias koj muaj hmoo, piav qhia txog kev daws teeb meem. Tab sis cov nyiaj npib no muaj qhov ntxeev sab: paub qhov tsis zoo kuj tau piav qhia meej. Piv txwv li, muaj cov lus piav qhia zoo ntawm qhov tsis zoo ntawm OpenStack lub rooj sab laj [XSS] и [SSRF], uas yog vim li cas tsis muaj leej twg nyob rau hauv ib tug maj mus kho.

Ib qho kev ua haujlwm zoo ntawm cov ntawv thov yog lub peev xwm rau cov neeg siv xa ib qhov txuas mus rau tus neeg rau zaub mov, uas tus neeg rau zaub mov nyem rau (piv txwv li, rub tawm cov duab los ntawm qhov chaw teev tseg). Yog tias cov cuab yeej kev ruaj ntseg tsis lim cov kev sib txuas ntawm lawv tus kheej lossis cov lus teb rov qab los ntawm cov neeg rau zaub mov rau cov neeg siv, cov haujlwm no tuaj yeem siv tau yooj yim los ntawm cov neeg tawm tsam.

SSRF qhov tsis zoo tuaj yeem ua rau kev txhim kho ntawm kev tawm tsam. Tus neeg tawm tsam tuaj yeem tau txais:

• txwv tsis pub nkag mus rau hauv lub network raug tawm tsam, piv txwv li, tsuas yog los ntawm qee ntu network thiab siv qee qhov kev cai;
• tag nrho nkag mus rau hauv lub zos network, yog hais tias downgrading los ntawm daim ntawv thov theem mus rau theem thauj yog ua tau thiab, raws li, tag nrho cov load tswj ntawm daim ntawv thov theem;
• nkag mus nyeem cov ntaub ntawv hauv zos ntawm tus neeg rau zaub mov (yog tias cov ntaub ntawv /// scheme tau txais kev txhawb nqa);
• thiab ntau ntxiv.

Qhov tsis zoo ntawm SSRF tau paub ntev ntev hauv OpenStack, uas yog "dig muag" hauv qhov xwm txheej: thaum koj hu rau tus neeg rau zaub mov, koj tsis tau txais lus teb los ntawm nws, tab sis koj tau txais ntau hom kev ua yuam kev / ncua, nyob ntawm qhov tshwm sim ntawm qhov kev thov. . Raws li qhov no, koj tuaj yeem ua qhov chaw nres nkoj scan ntawm cov tswv ntawm lub network sab hauv, nrog rau tag nrho cov txiaj ntsig uas yuav tsum tsis txhob raug xam. Piv txwv li, ib yam khoom yuav muaj qhov chaw ua haujlwm rov qab API uas tsuas yog siv tau los ntawm cov neeg koom tes. Nrog cov ntaub ntawv (tsis txhob hnov ​​​​qab txog cov neeg sab hauv), tus neeg tawm tsam tuaj yeem siv SSRF kom nkag mus rau hauv txoj hauv kev. Piv txwv li, yog tias koj muaj peev xwm tau txais cov npe kwv yees ntawm cov txiaj ntsig URLs, tom qab ntawd siv SSRF koj tuaj yeem mus dhau lawv thiab ua tiav qhov kev thov - kuj hais lus, hloov nyiaj los ntawm tus account mus rau tus account lossis hloov pauv.

Qhov no tsis yog thawj zaug uas SSRF qhov tsis zoo tau pom hauv OpenStack. Yav dhau los, nws muaj peev xwm rub tawm VM ISO cov duab los ntawm qhov txuas ncaj qha, uas kuj ua rau muaj qhov tshwm sim zoo sib xws. Cov yam ntxwv no tam sim no tau raug tshem tawm ntawm OpenStack. Pom tau tias, cov zej zog suav tias qhov no yog qhov yooj yim tshaj plaws thiab txhim khu kev qha daws teeb meem.

Thiab nyob rau hauv qhov no Tshaj tawm tshaj tawm los ntawm cov kev pabcuam HackerOne (h1), kev siv tsis tau qhov muag tsis pom SSRF nrog lub peev xwm los nyeem cov piv txwv metadata ua rau hauv paus nkag mus rau tag nrho Shopify infrastructure.

Hauv MCS, SSRF qhov tsis zoo tau pom nyob rau hauv ob qhov chaw uas muaj kev ua haujlwm zoo sib xws, tab sis lawv yuav luag tsis tuaj yeem siv vim yog firewalls thiab lwm yam kev tiv thaiv. Ib txoj hauv kev los sis lwm qhov, pab pawg MCS tau kho qhov teeb meem no, tsis tas tos cov zej zog.

XSS es tsis txhob thauj cov plhaub

Txawm hais tias muaj ntau pua cov kev tshawb fawb sau, xyoo dhau los xyoo XSS (hloov chaw sau ntawv) tseem yog qhov feem ntau nquag ntsib web vulnerability (los yog nres?).

Cov ntaub ntawv uploads yog qhov chaw nyiam rau txhua tus kws tshawb fawb txog kev nyab xeeb. Nws feem ntau hloov tawm tias koj tuaj yeem thauj cov ntawv tsis txaus ntseeg (asp / jsp / php) thiab ua tiav OS cov lus txib, hauv cov lus ntawm pentesters - "load plhaub". Tab sis qhov nrov ntawm cov kev tsis zoo no ua haujlwm nyob rau hauv ob qho tib si cov lus qhia: lawv nco qab thiab cov kev kho mob tau tsim tawm tsam lawv, yog li tsis ntev los no qhov tshwm sim ntawm "loading lub plhaub" nyhav rau xoom.

Pab pawg neeg tawm tsam ( sawv cev los ntawm Digital Security) muaj hmoo. OK, hauv MCS ntawm tus neeg rau zaub mov sab cov ntsiab lus ntawm cov ntaub ntawv rub tawm raug kuaj xyuas, tsuas yog tso cai rau cov duab. Tab sis SVG kuj yog ib daim duab. SVG cov duab yuav ua li cas txaus ntshai? Vim tias koj tuaj yeem embed JavaScript snippets rau hauv lawv!

Nws muab tawm tias cov ntaub ntawv rub tawm muaj rau txhua tus neeg siv ntawm MCS qhov kev pabcuam, uas txhais tau hais tias nws tuaj yeem tawm tsam lwm tus neeg siv huab, uas yog cov thawj coj.

Ib qho piv txwv ntawm XSS nres ntawm daim foos phishing nkag

Piv txwv ntawm XSS attack exploitation:

• Vim li cas thiaj sim nyiag kev sib tham (tshwj xeeb txij li tam sim no HTTP-Tsuas ncuav qab zib tsuas yog nyob txhua qhov chaw, tiv thaiv los ntawm tub sab siv js scripts), yog tias cov ntawv rub tawm tuaj yeem nkag mus rau API cov peev txheej tam sim? Nyob rau hauv rooj plaub no, lub payload tuaj yeem siv XHR thov los hloov cov server configuration, piv txwv li, ntxiv tus neeg tua neeg tus yuam sij SSH thiab tau txais SSH nkag mus rau lub server.
• Yog tias CSP txoj cai (txoj cai tiv thaiv cov ntsiab lus) txwv JavaScript los ntawm kev txhaj tshuaj, tus neeg tawm tsam tuaj yeem tau txais yam tsis muaj nws. Siv cov HTML ntshiab, tsim ib daim foos nkag mus rau lub xaib thiab nyiag tus thawj coj tus password los ntawm qhov siab tshaj phishing: nplooj ntawv phishing rau tus neeg siv xaus rau ntawm tib URL, thiab nws nyuaj rau tus neeg siv los kuaj xyuas nws.
• Thaum kawg, tus neeg tawm tsam tuaj yeem npaj Client DoS - teem ncuav qab zib loj dua 4 KB. Tus neeg siv tsuas yog yuav tsum qhib qhov txuas ib zaug, thiab tag nrho lub xaib yuav nkag mus tsis tau txog thaum tus neeg siv xav tias yuav tsum ntxuav qhov browser tshwj xeeb: feem ntau, lub vev xaib server yuav tsis kam txais cov neeg siv khoom zoo li no.

Cia peb saib ib qho piv txwv ntawm lwm qhov kuaj pom XSS, lub sijhawm no nrog kev siv dag zog ntau dua. Qhov kev pabcuam MCS tso cai rau koj los sib txuas cov teeb tsa firewall rau hauv pawg. Lub npe pab pawg nyob qhov twg XSS tau kuaj pom. Nws peculiarity yog tias vector tsis tau tshwm sim tam sim ntawd, tsis yog thaum saib cov npe ntawm cov cai, tab sis thaum tshem tawm ib pab pawg:

Ntawd yog, qhov xwm txheej tau dhau los ua cov hauv qab no: tus neeg tawm tsam tsim txoj cai firewall nrog "load" hauv lub npe, tus thawj coj ceeb toom nws tom qab ib ntus thiab pib cov txheej txheem tshem tawm. Thiab qhov no yog qhov uas JS siab phem ua haujlwm.

Rau MCS cov neeg tsim khoom, los tiv thaiv XSS hauv cov duab SVG rub tawm (yog tias lawv tsis tuaj yeem tso tseg), pab pawg Digital Security tau pom zoo:

• Muab cov ntaub ntawv upload los ntawm cov neeg siv ntawm ib qho chaw sib cais uas tsis muaj dab tsi ua nrog "cookies". Tsab ntawv yuav raug tua nyob rau hauv cov ntsiab lus ntawm ib tug sib txawv sau thiab yuav tsis ua phem rau MCS.
• Nyob rau hauv tus neeg rau zaub mov HTTP teb, xa "Cov ntsiab lus-kev xav: txuas" header. Tom qab ntawd cov ntaub ntawv yuav raug rub tawm los ntawm browser thiab tsis raug tua.

Tsis tas li ntawd, tam sim no muaj ntau txoj hauv kev muaj rau cov neeg tsim khoom los txo cov kev pheej hmoo ntawm XSS kev siv:

• siv tus chij "HTTP nkaus xwb", koj tuaj yeem ua qhov kev sib tham "Cookies" headers nkag tsis tau rau JavaScript phem;
• ua raws CSP txoj cai yuav ua rau nws nyuaj dua rau tus neeg tawm tsam los siv XSS;
• niaj hnub template xyaw xws li Angular lossis React cia li ntxuav cov neeg siv cov ntaub ntawv ua ntej tso tawm rau tus neeg siv lub browser.

Ob-factor authentication vulnerabilities

Txhawm rau txhim kho kev ruaj ntseg ntawm tus account, cov neeg siv ib txwm qhia kom ua kom 2FA (ob qho kev lees paub tseeb). Qhov tseeb, qhov no yog ib txoj hauv kev zoo los tiv thaiv tus neeg tawm tsam los ntawm kev nkag mus rau qhov kev pabcuam yog tias tus neeg siv daim ntawv pov thawj tau raug cuam tshuam.

Tab sis puas yog siv qhov thib ob authentication yam yeej ib txwm lav tus account kev nyab xeeb? Muaj cov teeb meem kev nyab xeeb hauv qab no hauv kev siv 2FA:

• Kev tshawb nrhiav Brute-force ntawm OTP code (ib zaug codes). Txawm hais tias qhov yooj yim ntawm kev ua haujlwm, qhov yuam kev xws li tsis muaj kev tiv thaiv OTP brute quab yuam kuj tau ntsib los ntawm cov tuam txhab loj: Slack case, Facebook cas.
• Tsis muaj zog tiam algorithm, piv txwv li lub peev xwm los kwv yees tus lej tom ntej.
• Cov laj thawj tsis raug, xws li muaj peev xwm thov lwm tus OTP ntawm koj lub xov tooj, zoo li qhov no yog los ntawm Shopify.

Nyob rau hauv rooj plaub ntawm MCS, 2FA yog siv raws li Google Authenticator thiab Duo. Cov txheej txheem nws tus kheej twb tau sim lub sijhawm, tab sis kev siv cov lej pov thawj ntawm daim ntawv thov sab yog tsim nyog kuaj xyuas.

MCS 2FA siv ntau qhov chaw:

• Thaum authenticating tus neeg siv. Muaj kev tiv thaiv brute quab yuam: tus neeg siv tsuas muaj ob peb sim nkag mus rau ib zaug ib lo lus zais, ces cov tswv yim raug thaiv ib ntus. Qhov no thaiv qhov muaj peev xwm ntawm brute-force xaiv ntawm OTP.
• Thaum tsim cov lej thaub qab offline los ua 2FA, nrog rau kev kaw nws. Ntawm no, tsis muaj kev tiv thaiv brute quab yuam tau siv, uas ua rau nws ua tau, yog tias koj muaj lo lus zais rau tus account thiab kev sib tham ua haujlwm, kom rov tsim cov lej thaub qab lossis lov tes taw 2FA tag nrho.

Xav txog tias cov lej thaub qab tau nyob rau hauv tib qhov ntau ntawm cov txiaj ntsig zoo li cov uas tau tsim los ntawm OTP daim ntawv thov, lub caij nyoog ntawm kev nrhiav cov lej hauv lub sijhawm luv luv yog ntau dua.

Cov txheej txheem ntawm kev xaiv OTP kom lov tes taw 2FA siv lub cuab yeej "Burp: Intruder".

tshwm sim

Zuag qhia tag nrho, MCS zoo li muaj kev nyab xeeb raws li cov khoom lag luam. Thaum lub sijhawm kuaj xyuas, pab pawg pentesting tsis tuaj yeem nkag mus rau cov neeg siv khoom VMs thiab lawv cov ntaub ntawv, thiab cov teeb meem pom tau raug kho sai los ntawm pab pawg MCS.

Tab sis ntawm no nws yog ib qho tseem ceeb kom nco ntsoov tias kev ruaj ntseg yog kev ua haujlwm tas mus li. Cov kev pabcuam tsis zoo li qub, lawv hloov mus tas li. Thiab nws yog tsis yooj yim sua los tsim ib yam khoom kiag li tsis muaj vulnerabilities. Tab sis koj tuaj yeem nrhiav tau lawv nyob rau lub sijhawm thiab txo qhov kev pheej hmoo ntawm lawv rov tshwm sim.

Tam sim no tag nrho cov teeb meem tau hais hauv MCS twb tau kho lawm. Thiab txhawm rau kom tus naj npawb ntawm cov tshiab kom tsawg thiab txo lawv lub neej, pab pawg platform txuas ntxiv ua qhov no:

• tsis tu ncua ua kev tshuaj xyuas los ntawm cov tuam txhab sab nraud;
• txhawb thiab txhim kho kev koom tes hauv Mail.ru Group Bug Bounty program;
• koom nrog kev ruaj ntseg. 🙂

Tau qhov twg los: www.hab.com