ProHoster > Блог > Nchịkwa > Nyocha nchekwa nke igwe ojii igwe ojii MCS

Nyocha nchekwa nke igwe ojii igwe ojii MCS

Nyocha nchekwa nke igwe ojii igwe ojii MCS
SkyShip dusk site na SeeLight

Iwuli ọrụ ọ bụla gụnyere ịrụ ọrụ mgbe niile na nchekwa. Nchekwa bụ usoro na-aga n'ihu na-agụnye nyocha mgbe niile na imeziwanye nchekwa ngwaahịa, nleba anya akụkọ banyere adịghị ike na ọtụtụ ndị ọzọ. Gụnyere nyocha. A na-eme nyocha ma n'ime ụlọ ma ndị ọkachamara si mba ọzọ, ndị nwere ike inye aka na nchekwa n'ihi na ha etinyeghị aka na ọrụ ahụ ma nwee uche mepere emepe.

Edemede a bụ maka echiche a kacha kwụ ọtọ nke ndị ọkachamara si mpụga bụ ndị nyeere ndị otu Mail.ru Cloud Solutions (MCS) nwalee ọrụ igwe ojii, yana gbasara ihe ha chọtara. Dị ka “ike mpụga,” MCS họọrọ ụlọ ọrụ Digital Security, nke amaara maka nka dị elu na okirikiri nchekwa ozi. N'isiokwu a, anyị ga-enyocha ụfọdụ adịghị ike na-adọrọ mmasị dị ka akụkụ nke nyocha nke mpụga - ka ị zere otu rake mgbe ị mepụtara ọrụ igwe ojii nke gị.

Описание продукта

Mail.ru Cloud Solution (MCS) bụ ikpo okwu maka iwulite akụrụngwa mebere na igwe ojii. Ọ gụnyere IaaS, PaaS, na ebe ahịa nke onyonyo ngwa emebere maka ndị mmepe. N'iburu n'uche ihe owuwu MCS, ọ dị mkpa ịlele nchekwa nke ngwaahịa na mpaghara ndị a:

  • ichebe akụrụngwa nke gburugburu ebe obibi mebere: hypervisors, routing, firewalls;
  • nchebe nke akụrụngwa mebere ndị ahịa: ikewapụ onwe ha, gụnyere netwọkụ, netwọkụ nkeonwe na SDN;
  • OpenStack na ihe ndị mepere emepe;
  • S3 nke imewe nke anyị;
  • IAM: oru ngo nke ọtụtụ ndị nwe ụlọ nwere ihe nlereanya;
  • Ọhụụ (ọhụụ kọmputa): API na adịghị ike mgbe ị na-arụ ọrụ na ihe oyiyi;
  • web interface na kpochapụwo webụ ọgụ;
  • adịghị ike nke akụkụ PaaS;
  • API nke akụkụ niile.

Ikekwe nke ahụ bụ ihe niile dị mkpa maka akụkọ ihe mere eme ọzọ.

Kedu ụdị ọrụ a rụrụ na gịnị kpatara ya?

Ezubere nyocha nchekwa iji chọpụta adịghị ike na mperi nhazi nke nwere ike ibute mwepu data nkeonwe, mgbanwe nke ozi dị nro, ma ọ bụ mebie ọrụ dị.

N'oge ọrụ ahụ, nke na-adịru na nkezi 1-2 ọnwa, ndị nyocha na-emeghachi omume nke ndị nwere ike ịwakpo ma na-achọ adịghị ike na ndị ahịa na akụkụ nkesa nke ọrụ ahọpụtara. N'ihe gbasara nyocha nke ikpo okwu igwe ojii nke MCS, a chọpụtara ebumnuche ndị a:

  1. Nyocha nke nyocha na ọrụ ahụ. Ọdịmma dị na akụrụngwa a ga-enyere aka ịbanye ozugbo na akaụntụ ndị ọzọ.
  2. Ịmụ ihe nlereanya na njikwa ohere n'etiti akaụntụ dị iche iche. Maka onye na-awakpo, ike ịnweta igwe mebere nke onye ọzọ bụ ebumnuche na-achọsi ike.
  3. adịghị ike n'akụkụ ndị ahịa. XSS/CSRF/CRLF/ wdg. Ọ ga-ekwe omume ịwakpo ndị ọrụ ndị ọzọ site na njikọ ọjọọ?
  4. Ihe ọghọm akụkụ nkesa: RCE na ụdị injections niile (SQL/XXE/SSRF na ndị ọzọ). Ọdịmma nkesa na-esikarị ike ịchọta, mana ha na-eduga na nbibi nke ọtụtụ ndị ọrụ ozugbo.
  5. Nyocha nke ikewapụ akụkụ onye ọrụ na ọkwa netwọkụ. Maka onye na-awakpo, enweghị ikewapụ na-abawanye elu ọgụ megide ndị ọrụ ndị ọzọ.
  6. Nyocha mgbagha azụmahịa. Ọ ga-ekwe omume ịghọgbu azụmaahịa ma mepụta igwe mebere n'efu?

N'ime oru ngo a, a rụrụ ọrụ dịka ụdị "Grey-box" si dị: ndị na-enyocha ọrụ na-emekọrịta ihe na ọrụ ahụ na ihe ùgwù nke ndị ọrụ nkịtị, ma nwere akụkụ nke koodu API ma nwee ohere ịkọwa nkọwa na ndị mmepe. Nke a na-abụkarị nke kachasị adaba, ma n'otu oge ahụ ezigbo ụdị ọrụ: onye na-awakpo nwere ike ịnakọta ozi dị n'ime, ọ bụ naanị oge.

Achọpụtara adịghị ike

Tupu onye nyocha ahụ amalite izipu ụgwọ ọrụ dị iche iche (ụgwọ a na-eji ebu agha) na ebe ndị na-enweghị ihe ọ bụla, ọ dị mkpa ịghọta otú ihe si arụ ọrụ na ihe arụrụ arụ ọrụ. O nwere ike ịdị ka nke a bụ mmega ahụ na-abaghị uru, n'ihi na n'ọtụtụ ebe a na-amụ ihe, a gaghị enwe ihe ọ bụla. Mana naanị ịghọta usoro nke ngwa ahụ na mgbagha nke ọrụ ya ga-eme ka o kwe omume ịchọta vectors ọgụ kachasị dị mgbagwoju anya.

Ọ dị mkpa ịchọta ebe ndị yiri ka a na-enyo enyo ma ọ bụ dị nnọọ iche na ndị ọzọ n'ụzọ ụfọdụ. Na nke mbụ dị ize ndụ adịghị ike a hụrụ n'ụzọ dị otú a.

IOR

IDOR (Insecure Direct Object Reference) adịghị ike bụ otu n'ime adịghị ike na-emekarị na mgbagha azụmahịa, nke na-enye ohere ka otu ma ọ bụ ọzọ nweta ihe ndị na-adịghị ekwe ka ịnweta ya. Ọdịmma IDOR na-emepụta ohere ịnweta ozi gbasara onye ọrụ nwere ogo dị egwu dị iche iche.

Otu n'ime nhọrọ IDOR bụ ime omume na ihe sistemụ (ndị ọrụ, akaụntụ ụlọ akụ, ihe dị n'ụgbọ ịzụ ahịa) site n'ịgbanwe ihe nrịbama ihe ndị a. Nke a na-eduga na nsonaazụ na-enweghị atụ. Dịka ọmụmaatụ, ohere nke dochie akaụntụ nke onye na-ezigara ego, site na nke ị nwere ike zuo ha n'aka ndị ọrụ ndị ọzọ.

N'ihe gbasara MCS, ndị nyocha achọpụtala adịghị ike IDOR jikọtara ya na njirimara enweghị nchekwa. N'ime akaụntụ nke onye ọrụ, a na-eji njirimara UUID nweta ihe ọ bụla, nke yiri, dị ka ndị ọkachamara nchekwa na-ekwu, enweghị nchebe (ya bụ, chebe ya pụọ ​​​​na mwakpo ọjọọ). Mana maka ụfọdụ ụlọ ọrụ, achọpụtara na a na-eji ọnụọgụ ọnụọgụgụ oge niile iji nweta ozi gbasara ndị ọrụ nke ngwa ahụ. Echere m na ị nwere ike ịkọ na ọ ga-ekwe omume ịgbanwe ID onye ọrụ site na otu, zipu arịrịọ ahụ ọzọ wee nweta ozi na-agafe ACL (ndepụta njikwa ohere, iwu ịnweta data maka usoro na ndị ọrụ).

Arịrịọ Arịrịọ n'akụkụ nkesa (SSRF)

Ihe dị mma gbasara ngwaahịa OpenSource bụ na ha nwere ọnụ ọgụgụ buru ibu nke forums nwere nkọwa nkọwa zuru ezu nke nsogbu ndị na-ebilite na, ọ bụrụ na ị nwere chi ọma, nkọwa nke ngwọta. Mana mkpụrụ ego a nwere akụkụ ntụgharị: a na-akọwakwa adịghị ike ndị ama ama n'ụzọ zuru ezu. Dịka ọmụmaatụ, enwere nkọwa mara mma nke adịghị ike na ọgbakọ OpenStack [XSS] и [SSRF], nke n'ihi ihe ụfọdụ ọ dịghị onye na-eme ngwa ngwa idozi.

Ọrụ a na-ahụkarị nke ngwa bụ ikike onye ọrụ izipu njikọ na sava ahụ, nke ihe nkesa na-pịa (dịka ọmụmaatụ, iji budata onyonyo site na isi mmalite akọwapụtara). Ọ bụrụ na ngwaọrụ nchekwa anaghị enyocha njikọ n'onwe ha ma ọ bụ nzaghachi sitere na sava ahụ nye ndị ọrụ, ndị na-awakpo nwere ike iji ọrụ dị otú ahụ ngwa ngwa.

Ọdịmma SSRF nwere ike ịkwalite mmepe ọgụ. Onye mbuso agha nwere ike nweta:

  • ohere dị oke na netwọkụ mpaghara a wakporo, dịka ọmụmaatụ, naanị site na mpaghara netwọkụ ụfọdụ yana iji usoro ụfọdụ;
  • ohere zuru oke na netwọk mpaghara, ma ọ bụrụ na ibelata site na ngwa ngwa gaa na ọkwa ụgbọ njem ga-ekwe omume na, n'ihi ya, njikwa ibu zuru oke na ọkwa ngwa;
  • ohere ịgụ faịlụ mpaghara na sava (ọ bụrụ na akwadoro faịlụ: /// atụmatụ);
  • na ọtụtụ ndị ọzọ.

Amara adịghị ike SSRF ogologo oge na OpenStack, nke bụ "kpuru ìsì" na okike: mgbe ị kpọtụrụ ihe nkesa ahụ, ị ​​gaghị enweta nzaghachi site na ya, mana ị na-enweta ụdị njehie / igbu oge dị iche iche, dabere na nsonaazụ nke arịrịọ ahụ. . Dabere na nke a, ị nwere ike ịme nyocha ọdụ ụgbọ mmiri na ndị ọbịa na netwọk dị n'ime, yana nsonaazụ niile na-esote nke na-ekwesịghị ileda anya. Dịka ọmụmaatụ, ngwaahịa nwere ike ịnwe API azụ ụlọ nke a na-enweta naanị site na netwọk ụlọ ọrụ. Site na akwụkwọ (echefula maka ndị nọ n'ime), onye na-awakpo nwere ike iji SSRF nweta ụzọ ime. Dịka ọmụmaatụ, ọ bụrụ n'ụzọ ụfọdụ ị nwere ike nweta ndepụta URL bara uru, wee jiri SSRF ị nwere ike ịgafe ha wee mezuo arịrịọ - n'ikwu okwu n'ụzọ dịtụ, nyefee ego site na akaụntụ gaa na akaụntụ ma ọ bụ gbanwee oke.

Nke a abụghị nke mbụ achọpụtara adịghị ike SSRF na OpenStack. N'oge gara aga, ọ ga-ekwe omume ibudata ihe oyiyi VM ISO site na njikọ kpọmkwem, nke buterekwa nsonaazụ yiri ya. Ewepụla atụmatụ a ugbu a na OpenStack. N'ụzọ doro anya, ndị obodo lere nke a anya dị ka ihe ngwọta kachasị mfe na nke a pụrụ ịdabere na ya maka nsogbu ahụ.

Na na nke a akụkọ dị n'ihu ọha sitere na ọrụ HackerOne (h1), nrigbu nke SSRF na-adịghịzi kpuru na ikike ịgụ metadata na-eduga na ohere mgbọrọgwụ na akụrụngwa Shopify niile.

Na MCS, achọpụtara adịghị ike SSRF n'ebe abụọ nwere ọrụ yiri ya, mana ọ fọrọ nke nta ka ọ bụrụ ihe na-agaghị ekwe omume irigbu n'ihi firewalls na nchebe ndị ọzọ. Otu ụzọ ma ọ bụ ọzọ, ndị otu MCS doziri nsogbu a, na-echeghị obodo.

XSS kama ibunye shells

N'agbanyeghị ọtụtụ narị ọmụmụ e dere, kwa afọ XSS (cross-site scripting) ọgụ ka bụ nke kacha na-ezute ugboro ugboro adịghị ike webụ (ma ọ bụ ọgụ?).

Nbulite faịlụ bụ ebe ọkacha mmasị maka onye nyocha nchekwa ọ bụla. Ọ na-apụtakarị na ị nwere ike iburu edemede aka ike (asp/jsp/php) wee mebie iwu OS, na okwu nke pentesters - “load shell”. Ma ewu ewu nke adịghị ike dị otú ahụ na-arụ ọrụ n'akụkụ abụọ ahụ: a na-echeta ha na a na-emepụta ọgwụgwọ megide ha, nke mere na n'oge na-adịbeghị anya, ohere nke "ịkwado shei" na-eche na efu.

Ndị otu mwakpo ahụ (nke Digital Security nọchitere anya ya) nwere chioma. Ọ dị mma, na MCS n'akụkụ sava ka enyochara ọdịnaya nke faịlụ ebudatara, naanị onyonyo ka anabatara. Mana SVG bụkwa foto. Kedu ka onyonyo SVG ga-esi dị ize ndụ? N'ihi na ị nwere ike itinye snippets Javascript n'ime ha!

Ọ tụgharịrị na faịlụ ebudatara dị maka ndị ọrụ MCS niile, nke pụtara na ọ ga-ekwe omume ịwakpo ndị ọrụ igwe ojii ndị ọzọ, ya bụ ndị nchịkwa.

Nyocha nchekwa nke igwe ojii igwe ojii MCS
Ọmụmaatụ nke mwakpo XSS na ụdị nbanye phishing

Ọmụmaatụ nke mbuso agha XSS:

  • Kedu ihe kpatara ị na-agbalị izu ohi nnọkọ (karịsịa ebe ọ bụ na kuki HTTP-naanị dị n'ebe niile, na-echebe ya site na izu ohi site na iji js scripts), ma ọ bụrụ na edemede ahụ nwere ike ịnweta API ngwa ngwa? N'okwu a, ụgwọ ọrụ nwere ike iji arịrịọ XHR gbanwee nhazi nkesa, dịka ọmụmaatụ, tinye igodo SSH ọha nke onye mwakpo wee nweta ohere SSH na sava ahụ.
  • Ọ bụrụ na amụma CSP (atụmatụ nchekwa ọdịnaya) machibido Javascript ịgbanye, onye na-awakpo nwere ike ịgafe na-enweghị ya. Iji HTML dị ọcha, mepụta ụdị nbanye adịgboroja maka saịtị ahụ wee zuo paswọọdụ onye nchịkwa site na phishing a dị elu: ibe phishing maka onye ọrụ na-ejedebe n'otu URL ahụ, ọ na-esiri onye ọrụ ike ịchọpụta ya.
  • N'ikpeazụ, onye na-awakpo ahụ nwere ike ịhazi onye ahịa DoS - tọọ kuki ibu karịa 4 KB. Naanị onye ọrụ ahụ kwesịrị imepe njikọ ahụ otu ugboro, saịtị ahụ dum na-aghọkwa ihe na-agaghị ekwe omume ruo mgbe onye ọrụ chere na ọ ga-ehichapụ ihe nchọgharị ahụ kpọmkwem: n'ọtụtụ ọnọdụ, sava weebụ ga-ajụ ịnakwere onye ahịa dị otú ahụ.

Ka anyị leba anya n'ihe atụ nke XSS ọzọ achọpụtara, nke oge a na-eji amamihe eme ihe. Ọrụ MCS na-enye gị ohere ijikọ ntọala firewall n'ime otu. Aha otu ahụ bụ ebe ahụrụ XSS. Ihe dị iche ya bụ na vector anaghị ebute ya ozugbo, ọ bụghị mgbe ị na-elele ndepụta iwu, kama mgbe ị na-ehichapụ otu:

Nyocha nchekwa nke igwe ojii igwe ojii MCS

Ya bụ, ọnọdụ ahụ tụgharịrị bụrụ nke a: onye na-awakpo na-emepụta iwu firewall na "ibu" n'aha, onye nchịkwa na-achọpụta ya mgbe obere oge gasịrị wee malite usoro nhichapụ. Na nke a bụ ebe JS ọjọọ na-arụ ọrụ.

Maka ndị mmepe MCS, iji chebe megide XSS na onyonyo SVG ebudatara (ọ bụrụ na enweghị ike ịhapụ ha), otu nchekwa dijitalụ tụrụ aro:

  • Debe faịlụ ndị ọrụ bugoro na ngalaba dị iche na-enweghị ihe jikọrọ ya na "kuki". A ga-eme ihe ederede na mpaghara mpaghara dị iche ma ọ gaghị etinye MCS iyi egwu.
  • Na nzaghachi HTTP nke nkesa, ziga nkụnye eji isi mee "Ọdịnaya-Nhazi: mgbakwunye". Mgbe ahụ, ihe nchọgharị ga-ebudata faịlụ ndị ahụ ma ghara igbu ya.

Na mgbakwunye, enwere ugbu a ọtụtụ ụzọ dịịrị ndị mmepe iji belata ihe egwu dị na nrigbu XSS:

  • n'iji ọkọlọtọ "HTTP Naanị", ị nwere ike ime ka ndị nkụnye eji isi mee "Kuki" ghara ịnweta Javascript ọjọọ;
  • Amụma CSP etinyere ya nke ọma ga-eme ka ọ sie ike karịa onye na-awakpo iji XSS eme ihe;
  • Igwe ndebiri ọgbara ọhụrụ dị ka Angular ma ọ bụ React na-ehichapụ data onye ọrụ ozugbo tupu iwepụta ya na ihe nchọgharị onye ọrụ.

Ọdịmma njirimara nke ihe abụọ

Iji kwalite nchekwa akaụntụ, a na-adụ ndị ọrụ ọdụ ka ha mee 2FA (nnwale ihe abụọ). N'ezie, nke a bụ ụzọ dị irè iji gbochie onye na-awakpo ịnweta ọrụ ma ọ bụrụ na emebiela nzere onye ọrụ.

Mana iji ihe nyocha nke abụọ ọ na-ekwe nkwa nchekwa akaụntụ mgbe niile? Enwere nsogbu nchekwa ndị a na mmejuputa 2FA:

  • Ọchụchọ ike ike nke koodu OTP (koodu otu oge). N'agbanyeghị ịdị mfe nke ọrụ, nnukwu ụlọ ọrụ na-ezutekwa njehie dịka enweghị nchebe megide ike ike OTP: Ikpe dị nro, Okwu Facebook.
  • Algọridim ọgbọ na-adịghị ike, dịka ọmụmaatụ ikike ịkọ koodu na-esote.
  • Njehie ezi uche dị na ya, dị ka ike ịrịọ OTP nke onye ọzọ na ekwentị gị, dị ka nke a bụ sitere na Shopify.

N'ihe gbasara MCS, 2FA na-emejuputa atumatu dabere na Google Authenticator na duo. Usoro n'onwe ya anwalelarị oge, mana mmejuputa nkwenye koodu n'akụkụ ngwa kwesịrị ịlele.

A na-eji MCS 2FA n'ọtụtụ ebe:

  • Mgbe ị na-enyocha onye ọrụ. Enwere nchebe megide ike dị nro: onye ọrụ nwere naanị mbọ ole na ole iji tinye paswọọdụ otu oge, mgbe ahụ, a na-egbochi ntinye ahụ ruo nwa oge. Nke a na-egbochi ohere nke ịhọrọ ike ike nke OTP.
  • Mgbe ị na-emepụta koodu ndabere na-anọghị n'ịntanetị iji rụọ ọrụ 2FA, yana gbanyụọ ya. N'ebe a, ọ nweghị nchebe ike arụrụ arụ ọrụ, nke mere ka o kwe omume, ọ bụrụ na ị nwere paswọọdụ maka akaụntụ ahụ yana nnọkọ na-arụ ọrụ, ịmegharị koodu nkwado ndabere na mpaghara ma ọ bụ gbanyụọ 2FA kpamkpam.

N'iburu n'uche na koodu nkwado ahụ dị n'otu ụdị ọnụọgụ ọnụọgụ dị ka nke ngwa OTP mepụtara, ohere ịchọta koodu ahụ n'oge dị mkpirikpi dị elu karịa.

Nyocha nchekwa nke igwe ojii igwe ojii MCS
Usoro nke ịhọrọ OTP iji gbanyụọ 2FA site na iji ngwa "Burp: Intruder".

N'ihi

N'ozuzu, MCS dị ka ọ nweghị nchekwa dị ka ngwaahịa. N'oge nyocha ahụ, ndị otu pentesting enweghị ike ịnweta VM ndị ahịa na data ha, ndị otu MCS meziri adịghị ike ndị ahụ achọtara ngwa ngwa.

Ma ebe a ọ dị mkpa iburu n'obi na nchekwa bụ ọrụ na-aga n'ihu. Ọrụ adịghị agbanwe agbanwe, ha na-agbanwe mgbe niile. Ma ọ gaghị ekwe omume ịmepụta ngwaahịa kpamkpam na-enweghị adịghị ike. Ma ị nwere ike ịchọta ha n'oge ma belata ohere nke nlọghachi ha.

Ugbu a adịghị ike niile a kpọtụrụ aha na MCS ka edozielarị. Na iji mee ka ọnụ ọgụgụ nke ndị ọhụrụ dị ntakịrị ma belata oge ndụ ha, otu ikpo okwu na-aga n'ihu na-eme nke a:

isi: www.habr.com

Tinye a comment