avy amin'ny SeerLight
Ny fananganana serivisy rehetra dia tsy maintsy ahitana asa tsy tapaka momba ny fiarovana. Ny fiarovana dia dingana mitohy izay ahitana famakafakana tsy tapaka sy fanatsarana ny fiarovana ny vokatra, fanaraha-maso ny vaovao momba ny vulnerability sy ny maro hafa. Anisan'izany ny fanamarinana. Ny fanaraha-maso dia atao ao an-trano na avy amin'ny manam-pahaizana ivelany, izay afaka manampy tanteraka amin'ny fiarovana satria tsy tafiditra ao anatin'ny tetikasa ary manana saina misokatra.
Ny lahatsoratra dia momba ity fomba fijery mahitsy indrindra amin'ny manam-pahaizana ivelany izay nanampy ny ekipan'ny Mail.ru Cloud Solutions (MCS) nanandrana ny serivisy rahona, sy ny zavatra hitany. Amin'ny maha “hery ivelany” azy, ny MCS dia nisafidy ny orinasa Digital Security, fantatra amin'ny fahaizany ambony amin'ny sehatry ny fiarovana ny vaovao. Ary ato amin'ity lahatsoratra ity dia hamakafaka ny fahalemena mahaliana sasany hita ao anatin'ny fanaraha-maso ivelany - mba hisorohana ny rake mitovy amin'izany rehefa mamorona serivisy rahona manokana ianao.
Product Description
dia sehatra fananganana fotodrafitrasa virtoaly ao anaty rahona. Anisan'izany ny IaaS, PaaS, ary tsenan'ny sary fampiharana efa vita ho an'ny mpamorona. Raha jerena ny maritrano MCS dia ilaina ny manamarina ny fiarovana ny vokatra amin'ireto faritra manaraka ireto:
- fiarovana ny fotodrafitrasa ny tontolo virtoaly: hypervisors, routing, firewall;
- fiarovana ny fotodrafitrasa virtoaly ho an'ny mpanjifa: fitokana-monina, anisan'izany ny tambajotra, tambajotra tsy miankina amin'ny SDN;
- OpenStack sy ireo singa misokatra;
- S3 amin'ny endrikay manokana;
- IAM: tetikasa maro mpanofa misy modely;
- Vision (fahitana solosaina): API sy vulnerability rehefa miasa amin'ny sary;
- interface tsara amin'ny tranonkala sy fanafihana tranonkala mahazatra;
- ny fahalemen'ny singa PaaS;
- API amin'ny singa rehetra.
Angamba izay ihany no ilaina amin'ny tantara fanampiny.
Karazana asa inona no natao ary nahoana no nilaina izany?
Ny fanaraha-maso fiarovana dia mikendry ny hamantatra ny fahalemena sy ny lesoka amin'ny fandrindrana izay mety hitarika amin'ny fahapotehan'ny angon-drakitra manokana, ny fanovana ny fampahalalana saro-pady, na ny fanelingelenana ny fahafahan'ny serivisy.
Mandritra ny asa, izay maharitra 1-2 volana eo ho eo, ny mpanamarina dia mamerina ny fihetsiky ny mpanafika ary mitady ny fahalemena ao amin'ny ampahany amin'ny mpanjifa sy ny mpizara amin'ny serivisy voafantina. Ao anatin'ny tontolon'ny fanaraha-maso ny sehatra rahona MCS dia fantatra ireto tanjona manaraka ireto:
- Famakafakana ny fanamarinana amin'ny serivisy. Ny vulnerability amin'ity singa ity dia hanampy amin'ny fidirana avy hatrany amin'ny kaontin'ny olon-kafa.
- Fandalinana ny maodely sy ny fanaraha-maso ny fidirana eo amin'ny kaonty samihafa. Ho an'ny mpanafika, ny fahafahana miditra amin'ny milina virtoaly an'olon-kafa dia tanjona iriana.
- Ny vulnerability amin'ny lafiny mpanjifa. XSS / CSRF / CRLF / sns. Azo atao ve ny manafika mpampiasa hafa amin'ny alàlan'ny rohy maloto?
- Ny vulnerabilities amin'ny lafiny server: RCE sy ny karazana tsindrona rehetra (SQL/XXE/SSRF sy ny sisa). Sarotra kokoa ny mahita ny vulnerabilities amin'ny server, saingy mitarika amin'ny marimaritra iraisana amin'ny mpampiasa maro indray mandeha.
- Famakafakana ny fitokana-monina fizarana mpampiasa amin'ny haavon'ny tambajotra. Ho an'ny mpanafika, ny tsy fisian'ny fitokanana dia mampitombo be ny fanafihan'ny mpampiasa hafa.
- Famakafakana lojika ara-barotra. Azo atao ve ny mamitaka orinasa sy mamorona milina virtoaly maimaim-poana?
Amin'ity tetikasa ity, ny asa dia natao araka ny maodely "Gray-box": nifanerasera tamin'ny serivisy ny mpanamarina ny tombontsoan'ny mpampiasa tsotra, saingy nanana ampahany tamin'ny code source an'ny API ary nanana fahafahana nanazava ny antsipiriany tamin'ny mpamorona. Izany matetika no mety indrindra, ary miaraka amin'izay koa, modely amin'ny asa tena misy: ny fampahalalana anatiny dia mbola azo angonin'ny mpanafika, fotoana fohy monja.
Hita ny vulnerability
Alohan'ny hanombohan'ny mpanamarina ny fandefasana entana isan-karazany (ny entam-barotra ampiasaina amin'ny fanafihana) any amin'ny toerana kisendrasendra, dia ilaina ny mahatakatra ny fomba fiasan'ny zavatra sy ny asa omena. Mety ho toy ny fanazaran-tena tsy misy ilana azy izany, satria amin'ny ankamaroan'ny toerana nianarana dia tsy hisy ny vulnerability. Saingy ny fahatakarana ny firafitry ny fampiharana sy ny lojika amin'ny fampandehanana azy ihany no ahafahana mahita ireo vectors fanafihana sarotra indrindra.
Zava-dehibe ny mahita toerana toa mampiahiahy na tena tsy mitovy amin'ny hafa amin'ny lafiny iray. Ary ny vulnerability mampidi-doza voalohany dia hita tamin'izany fomba izany.
IDOR
Ny vulnerabilities IDOR (Insecure Direct Object Reference) dia iray amin'ireo fahalemena mahazatra indrindra amin'ny lojikan'ny fandraharahana, izay ahafahan'ny tsirairay mahazo fidirana amin'ny zavatra tsy mahazo miditra. Ny vulnerabilities IDOR dia mahatonga ny fahafahana hahazo vaovao momba ny mpampiasa iray amin'ny ambaratonga samihafa.
Ny iray amin'ireo safidy IDOR dia ny manao hetsika miaraka amin'ny zavatra rafitra (mpampiasa, kaonty amin'ny banky, entana ao amin'ny sarety fiantsenana) amin'ny alàlan'ny fanodikodinana ireo famantarana fidirana amin'ireo zavatra ireo. Izany dia mitarika ho amin'ny vokany tsy ampoizina indrindra. Ohatra, ny fahafahana manolo ny kaontin'ny mpandefa vola, izay ahafahanao mangalatra azy ireo amin'ny mpampiasa hafa.
Raha ny momba ny MCS, vao hitan'ny mpanamarina ny faharefoana IDOR mifandray amin'ny famantarana tsy azo antoka. Ao amin'ny kaontin'ny mpampiasa manokana, ny mpamaritra UUID dia nampiasaina mba hidirana amin'ny zavatra rehetra, izay toa, araka ny filazan'ny manam-pahaizana momba ny fiarovana, dia tena tsy azo antoka (izany hoe, voaro amin'ny fanafihana mahery vaika). Saingy ho an'ny sampana sasany dia hita fa ny isa azo vinavinaina ara-dalàna dia ampiasaina hahazoana vaovao momba ireo mpampiasa ny fampiharana. Heveriko fa azonao atao ny maminavina fa azo atao ny manova ny ID mpampiasa iray, mandefa ny fangatahana indray ary noho izany dia mahazo fampahalalana amin'ny alàlan'ny ACL (lisitra fanaraha-maso fidirana, fitsipika fidirana data ho an'ny dingana sy mpampiasa).
Fangatahana fangatahan'ny mpizara (SSRF)
Ny zavatra tsara momba ny vokatra OpenSource dia manana forum marobe misy famaritana ara-teknika amin'ny antsipiriany momba ny olana mitranga ary, raha tsara vintana ianao, dia famaritana ny vahaolana. Saingy ity vola madinika ity dia manana lafiny iray: ny vulnerability fantatra dia voalaza amin'ny antsipiriany ihany koa. Ohatra, misy famaritana mahafinaritra momba ny vulnerability ao amin'ny forum OpenStack и , izay noho ny antony tsy misy maika hanamboatra.
Fampiasa mahazatra amin'ny rindranasa dia ny fahafahan'ny mpampiasa mandefa rohy mankany amin'ny mpizara, izay kitihin'ny mpizara (ohatra, misintona sary avy amin'ny loharano voafaritra). Raha toa ka tsy manivana ny rohy ny fitaovana fiarovana na ny valinteny naverina avy amin'ny mpizara ho an'ny mpampiasa, dia mora ampiasaina amin'ny mpanafika ny fiasa toy izany.
Ny vulnerabilities SSRF dia afaka mampandroso be ny fivoaran'ny fanafihana. Ny mpanafika dia afaka mahazo:
- voafetra ny fidirana amin'ny tambajotra eo an-toerana voatafika, ohatra, amin'ny alàlan'ny ampahan-tambajotra sasany ary mampiasa protocol iray;
- fidirana feno amin'ny tambajotra eo an-toerana, raha azo atao ny midina avy amin'ny haavon'ny fampiharana mankany amin'ny haavon'ny fitaterana ary, vokatr'izany, ny fitantanana enta-mavesatra amin'ny haavon'ny fampiharana;
- fidirana amin'ny famakiana ireo rakitra eo an-toerana amin'ny mpizara (raha toa ka tohana ny fisie: ///);
- ary mihoatra noho izany aza.
Ny vulnerability SSRF dia efa fantatra hatry ny ela tao amin'ny OpenStack, izay "jamba" amin'ny natiora: rehefa mifandray amin'ny mpizara ianao dia tsy mahazo valiny avy aminy, fa mahazo karazana fahadisoana / fahatarana isan-karazany, miankina amin'ny vokatry ny fangatahana. . Mifototra amin'izany, azonao atao ny manao scan port amin'ny mpampiantrano ao amin'ny tambajotra anatiny, miaraka amin'ny vokany rehetra izay tsy tokony hohamaivanina. Ohatra, ny vokatra iray dia mety manana API back-office izay tsy azo idirana afa-tsy amin'ny tambajotran'ny orinasa. Miaraka amin'ny antontan-taratasy (aza adino ny ao anatiny), ny mpanafika dia afaka mampiasa SSRF mba hidirana amin'ny fomba anatiny. Ohatra, raha toa ianao ka afaka mahazo lisitry ny URL mahasoa, dia azonao atao ny mamakivaky azy ireo amin'ny SSRF ary manatanteraka fangatahana - amin'ny lafiny iray, mamindra vola avy amin'ny kaonty mankany amin'ny kaonty na manova fetra.
Tsy vao voalohany no nahitana faharefoana SSRF tao amin'ny OpenStack. Taloha dia azo atao ny misintona sary VM ISO avy amin'ny rohy mivantana, izay niteraka voka-dratsy mitovy amin'izany ihany koa. Ity endri-javatra ity dia nesorina tao amin'ny OpenStack. Raha ny fantatra dia io no noheverin’ny fokonolona ho vahaolana tsotra sy azo antoka indrindra amin’ny olana.
Ary ao tatitra azo ampahibemaso avy amin'ny serivisy HackerOne (h1), ny fitrandrahana SSRF tsy jamba intsony miaraka amin'ny fahaizana mamaky metadata ohatra dia mitondra mankany amin'ny fidirana Root amin'ny fotodrafitrasa Shopify manontolo.
Ao amin'ny MCS, hita any amin'ny toerana roa manana fiasa mitovy amin'izany ny vulnerabilities SSRF, saingy saika tsy azo trandrahana noho ny firewall sy ny fiarovana hafa. Na ahoana na ahoana, ny ekipan'ny MCS dia namaha io olana io, tsy niandry ny fiaraha-monina.
XSS fa tsy mampiditra akorandriaka
Na dia eo aza ny fianarana an-jatony nosoratana, isan-taona dia mbola ny fanafihana XSS (cross-site scripting) no be indrindra vulnerability amin'ny tranonkala (na ?).
Toerana tian'ny mpikaroka momba ny fiarovana rehetra ny fampiakarana rakitra. Matetika dia hita fa afaka mametaka script tsy misy dikany ianao (asp/jsp/php) ary manatanteraka baiko OS, amin'ny teny pentesters - "load shell". Saingy ny lazan'ny vulnerabilité toy izany dia miasa amin'ny lafiny roa: tsaroana izy ireo ary novolavolaina ny fanafody hanoherana azy ireo, ka vao haingana ny mety ho "mametaka akorandriaka" dia lasa aotra.
Tsara vintana ny ekipa mpanafika (soloin'ny Digital Security). OK, ao amin'ny MCS eo amin'ny lafin'ny mpizara dia nojerena ny votoatin'ny rakitra alaina, sary ihany no navela. Fa sary ihany koa ny SVG. Ahoana no mety hampidi-doza ny sary SVG? Satria azonao atao ny mampiditra snippet JavaScript ao anatin'izy ireo!
Hita fa azon'ny mpampiasa rehetra amin'ny serivisy MCS ny rakitra alaina, izay midika fa azo atao ny manafika ireo mpampiasa rahona hafa, izany hoe ny mpitantana.
Ohatra iray amin'ny fanafihana XSS amin'ny endrika fidirana phishing
Ohatra amin'ny fanararaotana fanafihana XSS:
- Maninona no manandrana mangalatra fivoriana (indrindra fa amin'izao fotoana izao ny cookies HTTP-Only dia eny rehetra eny, voaaro amin'ny halatra amin'ny fampiasana js scripts), raha afaka miditra avy hatrany amin'ny API loharanon-karena ny script voapetraka? Amin'ity tranga ity, ny karama dia afaka mampiasa ny fangatahana XHR hanovana ny fikirakirana mpizara, ohatra, ampio ny lakilen'ny SSH ho an'ny daholobe ny mpanafika ary mahazo fidirana SSH amin'ny mpizara.
- Raha ny politikan'ny CSP (politika fiarovana ny votoaty) dia mandrara ny JavaScript tsy hampiditra tsindrona, dia afaka mahazo ny mpanafika raha tsy misy izany. Amin'ny fampiasana HTML madio, mamorona endrika fidirana hosoka ho an'ny tranokala ary mangalatra ny tenimiafin'ny mpitantana amin'ny alàlan'ity phishing mandroso ity: ny pejy phishing ho an'ny mpampiasa dia miafara amin'ny URL iray ihany, ary sarotra kokoa ho an'ny mpampiasa ny mamantatra izany.
- Farany, afaka mandamina ny mpanafika — mametraka Cookies lehibe kokoa noho ny 4 KB. Indray mandeha ihany no mila manokatra ny rohy ny mpampiasa, ary lasa tsy azo idirana ny tranokala manontolo mandra-pahatongan'ny mpampiasa mieritreritra ny hanadio manokana ny navigateur: amin'ny ankamaroan'ny tranga, ny mpizara tranonkala dia mandà tsy hanaiky mpanjifa toy izany.
Andeha hojerentsika ny ohatra iray amin'ny XSS hafa hita, amin'ity indray mitoraka ity miaraka amin'ny fanararaotana marani-tsaina kokoa. Ny serivisy MCS dia ahafahanao manambatra ny firafitry ny firewall ho vondrona. Ny anaran'ny vondrona no nahitana ny XSS. Ny mampiavaka azy dia ny hoe tsy nipoitra avy hatrany ny vector, tsy rehefa mijery ny lisitry ny fitsipika, fa rehefa mamafa vondrona:
Izany hoe, ny scenario dia nivadika ho toy izao manaraka izao: ny mpanafika dia mamorona fitsipika firewall miaraka amin'ny "enta-mavesatra" amin'ny anarana, ny mpitantana dia mahatsikaritra izany rehefa afaka kelikely ary manomboka ny dingana famafana. Ary eto no iasan'ny JS ratsy fanahy.
Ho an'ny mpamorona MCS, mba hiarovana amin'ny XSS amin'ny sary SVG alaina (raha tsy azo ariana) dia nanoro hevitra ny ekipan'ny Digital Security:
- Apetraho amin'ny sehatra mitokana tsy misy ifandraisany amin'ny “cookies” ny rakitra nampidirin'ny mpampiasa. Ny script dia hotanterahina amin'ny tontolon'ny sehatra hafa ary tsy hampidi-doza ny MCS.
- Ao amin'ny valin'ny HTTP an'ny mpizara, alefaso ny lohatenin'ny “Content-disposition: attachment”. Avy eo dia alain'ny navigateur ny rakitra ary tsy hovonoina.
Ankoatr'izay, misy fomba maro azo alaina amin'ny mpamorona hanalefahana ny loza ateraky ny fitrandrahana XSS:
- amin'ny fampiasana ny saina "HTTP Ihany", azonao atao ny manao lohatenin'ny "Cookies" session tsy ho azon'ny JavaScript manimba;
- hanasarotra kokoa ny mpanafika ny hitrandraka XSS;
- maotera maotera maoderina toy ny Angular na React dia manadio ho azy ny angon-drakitra mpampiasa alohan'ny hamoahana azy amin'ny navigateur mpampiasa.
Faharefoana fanamarinana roa sosona
Mba hanatsarana ny fiarovana ny kaonty, ny mpampiasa dia manoro hevitra hatrany mba hamela ny 2FA (fanamarinana roa-antony). Eny tokoa, fomba mahomby hanakanana ny mpanafika tsy hiditra amin'ny serivisy izany raha toa ka voahitsakitsaka ny mombamomba ny mpampiasa.
Saingy miantoka foana ve ny fiarovana ny kaonty amin'ny fampiasana anton-javatra fanamarinana faharoa? Ireto misy olana momba ny fiarovana amin'ny fampiharana ny 2FA:
- Fikarohana mahery vaika amin'ny kaody OTP (kaody indray mandeha). Na dia eo aza ny fahatsoran'ny asa, ny fahadisoana toy ny tsy fahampian'ny fiarovana amin'ny hery mahery vaika OTP dia sendra ny orinasa lehibe ihany koa: , .
- Algorithm generation malemy, ohatra ny fahaizana maminavina ny code manaraka.
- Fahadisoana lojika, toy ny fahafahana mangataka OTP olon-kafa amin'ny findainao, toy izao avy amin'ny Shopify.
Raha ny MCS, ny 2FA dia ampiharina amin'ny Google Authenticator sy . Ny protocol mihitsy dia efa voasedra fotoana, fa ny fampiharana ny fanamarinana kaody amin'ny lafiny fampiharana dia mendrika hojerena.
MCS 2FA dia ampiasaina amin'ny toerana maromaro:
- Rehefa manamarina ny mpampiasa. Misy fiarovana amin'ny herim-pamoretana: ny mpampiasa dia manana andrana kely fotsiny hampiditra tenimiafina indray mandeha, dia voasakana vetivety ny fampidirana. Izany dia manakana ny mety hisian'ny fifantenana mahery vaika amin'ny OTP.
- Rehefa mamorona kaody backup ivelan'ny aterineto hanaovana 2FA, ary koa manafoana izany. Eto, tsy nisy fiarovana mahery vaika nampiharina, izay nahatonga azy ho azo atao, raha manana tenimiafina ho an'ny kaonty sy fivoriana mavitrika ianao, hanova ny kaody backup na hanaisotra tanteraka ny 2FA.
Raha jerena fa ny kaody backup dia hita ao amin'ny sandan'ny tady mitovy amin'ny novokarin'ny fampiharana OTP, ny vintana hahita ny kaody ao anatin'ny fotoana fohy dia avo kokoa.
Ny dingan'ny fisafidianana OTP hanesorana ny 2FA amin'ny alàlan'ny fitaovana "Burp: Intruder".
vokatra
Amin'ny ankapobeny, ny MCS dia toa azo antoka ho toy ny vokatra. Nandritra ny fanaraha-maso dia tsy afaka niditra tao amin'ny VM mpanjifa sy ny angon-dry zareo ny ekipan'ny pentesting, ary ny vulnerability hita dia voahitsin'ny ekipa MCS haingana.
Saingy eto dia zava-dehibe ny manamarika fa ny fiarovana dia asa mitohy. Tsy static ny serivisy fa mivoatra hatrany. Ary tsy azo atao ny mamolavola vokatra tanteraka raha tsy misy vulnerability. Saingy afaka mahita azy ireo ara-potoana ianao ary manamaivana ny mety hiverenan'izy ireo.
Ankehitriny dia efa raikitra avokoa ireo vulnerability voalaza ao amin'ny MCS. Ary mba hitazonana ny isan'ireo vaovao ho faran'izay kely indrindra sy hampihenana ny androm-piainany, dia manohy manao izao ny ekipan'ny sehatra:
- manao fanaraha-maso tsy tapaka ataon'ny orinasa ivelany;
- manohana sy mampivelatra ny fandraisana anjara;
- mirotsaka amin'ny fiarovana. 🙂
Source: www.habr.com