မည်သည့် ဝန်ဆောင်မှုကိုမဆို တည်ဆောက်ရာတွင် လုံခြုံရေးအတွက် အမြဲမပြတ် လုပ်ဆောင်မှု ပါဝင်သည်။ လုံခြုံရေးသည် ထုတ်ကုန်လုံခြုံရေးကို စဉ်ဆက်မပြတ် ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် မြှင့်တင်ခြင်း၊ အားနည်းချက်များအကြောင်း သတင်းများကို စောင့်ကြည့်ခြင်းနှင့် အခြားအရာများစွာ ပါဝင်သည့် စဉ်ဆက်မပြတ် လုပ်ငန်းစဉ်တစ်ခုဖြစ်သည်။ စာရင်းစစ်များအပါအဝင်။ စာရင်းစစ်များကို အိမ်တွင်း၌ရော ပြင်ပမှပါရဂူများကပါ ဆောင်ရွက်ကြပြီး၊ ၎င်းတို့သည် ပရောဂျက်တွင် နှစ်မြှုပ်မနေဘဲ ပွင့်လင်းမြင်သာမှုရှိသောကြောင့် လုံခြုံရေးကို ပြင်းထန်စွာ ကူညီပေးနိုင်သော ကျွမ်းကျင်သူများဖြစ်သည်။
ဆောင်းပါးသည် Mail.ru Cloud Solutions (MCS) အဖွဲ့အား cloud ဝန်ဆောင်မှုကို စမ်းသပ်ရာတွင် ကူညီပေးခဲ့သော ပြင်ပကျွမ်းကျင်သူများ၏ အရိုးရှင်းဆုံးအမြင်နှင့် ၎င်းတို့တွေ့ရှိထားသည်များအကြောင်း ဆောင်းပါးဖြစ်သည်။ “ပြင်ပအင်အားစု” အနေဖြင့် MCS သည် သတင်းအချက်အလက် လုံခြုံရေး စက်ဝိုင်းများတွင် ၎င်း၏ ကျွမ်းကျင်မှု မြင့်မားသောကြောင့် လူသိများသော Digital Security ကုမ္ပဏီကို ရွေးချယ်ခဲ့သည်။ ပြီးတော့ ဒီဆောင်းပါးမှာ ပြင်ပစာရင်းစစ်တစ်ခုရဲ့ တစ်စိတ်တစ်ပိုင်းအနေနဲ့ တွေ့ရတဲ့ စိတ်ဝင်စားစရာကောင်းတဲ့ အားနည်းချက်အချို့ကို ခွဲခြမ်းစိတ်ဖြာပြီး သင့်ကိုယ်ပိုင် cloud ဝန်ဆောင်မှုကို ဖန်တီးတဲ့အခါ တူညီတဲ့ အမိုက်စားကို ရှောင်ရှားနိုင်မှာဖြစ်ပါတယ်။
ထုတ်ကုန်ဖျေါပွခကျြ
- virtualization ပတ်ဝန်းကျင်၏ အခြေခံအဆောက်အဦများကို ကာကွယ်ခြင်း- hypervisors၊ လမ်းကြောင်းတင်ခြင်း၊ firewalls;
- ဖောက်သည်များ၏ အတုအယောင်အခြေခံအဆောက်အအုံများကို အကာအကွယ်ပေးခြင်း- ကွန်ရက်၊ SDN ရှိ သီးသန့်ကွန်ရက်များအပါအဝင် အချင်းချင်း အထီးကျန်နေခြင်း၊
- OpenStack နှင့် ၎င်း၏ဖွင့်ထားသော အစိတ်အပိုင်းများ၊
- ကျွန်ုပ်တို့၏ကိုယ်ပိုင်ဒီဇိုင်း S3;
- IAM- စံနမူနာပြပါရှိသော အိမ်ငှားစီမံကိန်းများစွာ၊
- အမြင် (ကွန်ပြူတာအမြင်)- ရုပ်ပုံများနှင့် အလုပ်လုပ်သည့်အခါ API များနှင့် အားနည်းချက်များ၊
- ဝဘ်အင်တာဖေ့စ်နှင့် ဂန္ထဝင်ဝဘ်တိုက်ခိုက်မှုများ၊
- PaaS အစိတ်အပိုင်းများ၏ အားနည်းချက်များ၊
- အစိတ်အပိုင်းအားလုံး၏ API
ဒါတွေအားလုံးဟာ နောက်ထပ်သမိုင်းအတွက် မရှိမဖြစ်လိုအပ်တာ ဖြစ်နိုင်တယ်။
ဘယ်လိုအလုပ်မျိုးလုပ်ခဲ့သလဲ၊ ဘာကြောင့်လိုအပ်တာလဲ။
လုံခြုံရေးစစ်ဆေးမှုတစ်ခုသည် ကိုယ်ရေးကိုယ်တာအချက်အလက်များ ပေါက်ကြားမှု၊ အရေးကြီးသော အချက်အလက်များကို ပြုပြင်မွမ်းမံခြင်း သို့မဟုတ် ဝန်ဆောင်မှုရရှိနိုင်မှု အနှောင့်အယှက်ဖြစ်စေနိုင်သည့် အားနည်းချက်များနှင့် ဖွဲ့စည်းမှုဆိုင်ရာ အမှားများကို ဖော်ထုတ်ရန် ရည်ရွယ်သည်။
ပျမ်းမျှ 1-2 လကြာသည့် အလုပ်အတွင်း စာရင်းစစ်များသည် ဖြစ်နိုင်ချေရှိသော တိုက်ခိုက်သူများ၏ လုပ်ဆောင်ချက်များကို ပြန်လုပ်ကာ ရွေးချယ်ထားသော ဝန်ဆောင်မှု၏ client နှင့် server အစိတ်အပိုင်းများတွင် အားနည်းချက်များကို ရှာဖွေပါ။ MCS cloud ပလပ်ဖောင်း၏ စစ်ဆေးမှုအခြေအနေတွင်၊ အောက်ပါပန်းတိုင်များကို ဖော်ထုတ်ခဲ့သည်-
- ဝန်ဆောင်မှုတွင် စစ်မှန်ကြောင်း စိစစ်ခြင်း။ ဤအစိတ်အပိုင်းရှိ အားနည်းချက်များသည် အခြားသူများ၏အကောင့်ထဲသို့ ချက်ချင်းဝင်ရောက်ရန် ကူညီပေးပါလိမ့်မည်။
- မတူညီသော အကောင့်များကြားတွင် စံနမူနာပြနှင့် ဝင်ရောက်ထိန်းချုပ်မှုကို လေ့လာခြင်း။ တိုက်ခိုက်သူအတွက်၊ အခြားသူ၏ virtual machine သို့ ဝင်ရောက်နိုင်မှုသည် နှစ်လိုဖွယ်ပန်းတိုင်ဖြစ်သည်။
- Client ဘက်မှ အားနည်းချက်များ။ XSS/CSRF/CRLF/စသည်ဖြင့် အန္တရာယ်ရှိသောလင့်ခ်များမှတစ်ဆင့် အခြားအသုံးပြုသူများကို တိုက်ခိုက်ရန် ဖြစ်နိုင်ပါသလား။
- ဆာဗာဘေးထွက် အားနည်းချက်များ- RCE နှင့် ထိုးဆေးအမျိုးမျိုး (SQL/XXE/SSRF စသည်ဖြင့်)။ ဆာဗာ အားနည်းချက်များသည် ယေဘူယျအားဖြင့် ရှာဖွေရန် ပိုမိုခက်ခဲသော်လည်း ၎င်းတို့သည် သုံးစွဲသူများစွာကို တပြိုင်နက် အပေးအယူလုပ်ရန် ဦးတည်စေသည်။
- ကွန်ရက်အဆင့်တွင် အသုံးပြုသူအပိုင်း သီးခြားခွဲထုတ်ခြင်းကို ခွဲခြမ်းစိတ်ဖြာခြင်း။ တိုက်ခိုက်သူတစ်ဦးအတွက်၊ သီးခြားခွဲထားခြင်းမရှိခြင်းက အခြားအသုံးပြုသူများကို တိုက်ခိုက်သည့်မျက်နှာပြင်ကို တိုးမြင့်စေသည်။
- စီးပွားရေးယုတ္တိဗေဒခွဲခြမ်းစိတ်ဖြာ။ လုပ်ငန်းများကို လှည့်ဖြားပြီး virtual machines များကို အခမဲ့ ဖန်တီးနိုင်ပါသလား။
ဤပရောဂျက်တွင်၊ "Gray-box" မော်ဒယ်အတိုင်း လုပ်ဆောင်ခဲ့သည်- စာရင်းစစ်များသည် သာမန်အသုံးပြုသူများ၏ အခွင့်ထူးများဖြင့် ဝန်ဆောင်မှုနှင့် အပြန်အလှန် တုံ့ပြန်ခဲ့ကြသော်လည်း API ၏ အရင်းအမြစ်ကုဒ်တစ်စိတ်တစ်ပိုင်းကို ပိုင်ဆိုင်ထားပြီး အသေးစိတ်အချက်အလက်များကို ဆော့ဖ်ဝဲရေးသားသူများနှင့် ရှင်းလင်းရန် အခွင့်အရေးရခဲ့သည်။ ၎င်းသည် အများအားဖြင့် အဆင်ပြေဆုံးဖြစ်ပြီး တစ်ချိန်တည်းမှာပင် အလွန်လက်တွေ့ကျသော အလုပ်ပုံစံဖြစ်သည်- အတွင်းအချက်အလက်များကို တိုက်ခိုက်သူမှ စုဆောင်းထားနိုင်ဆဲဖြစ်သည်၊ အချိန်တစ်ခုသာဖြစ်သည်။
အားနည်းချက်များ တွေ့ရှိခဲ့သည်။
စာရင်းစစ်သည် အမျိုးမျိုးသော payloads (တိုက်ခိုက်မှုကိုလုပ်ဆောင်ရန်အသုံးပြုသည့် payload) ကို ကျပန်းနေရာများသို့မပို့မီ၊ အရာများမည်သို့အလုပ်လုပ်ပုံနှင့် လုပ်ဆောင်နိုင်စွမ်းကို ထောက်ပံ့ပေးထားသည်ကို နားလည်ရန် လိုအပ်ပါသည်။ လေ့လာထားသည့်နေရာအများစုတွင် အားနည်းချက်များရှိမည်မဟုတ်သောကြောင့်၊ သို့သော် အပလီကေးရှင်း၏ဖွဲ့စည်းပုံနှင့် ၎င်း၏လုပ်ဆောင်ချက်၏ ယုတ္တိကို နားလည်မှသာ အရှုပ်ထွေးဆုံးသော တိုက်ခိုက်ရေး ကွက်လပ်များကို ရှာဖွေနိုင်မည်ဖြစ်သည်။
အခြားသူများနှင့် တစ်နည်းနည်းဖြင့် သံသယဖြစ်ဖွယ် သို့မဟုတ် အလွန်ကွာခြားသည့်နေရာများကို ရှာဖွေရန် အရေးကြီးပါသည်။ ဤနည်းဖြင့် ပထမဆုံး အန္တရာယ်ရှိသော အားနည်းချက်ကို တွေ့ရှိခဲ့သည်။
IDOR
IDOR (Insecure Direct Object Reference) အားနည်းချက်များသည် စီးပွားရေးယုတ္တိဗေဒတွင် အဖြစ်များဆုံးသော အားနည်းချက်များထဲမှ တစ်ခုဖြစ်ပြီး၊ တစ်ခု သို့မဟုတ် တစ်ခုသည် အမှန်တကယ် ခွင့်မပြုထားသည့် အရာဝတ္ထုများထံ ဝင်ရောက်ခွင့်ရရှိစေရန် ခွင့်ပြုပေးပါသည်။ IDOR အားနည်းချက်များသည် ဝေဖန်မှုအဆင့်အမျိုးမျိုးရှိသည့် သုံးစွဲသူတစ်ဦးနှင့်ပတ်သက်သည့် သတင်းအချက်အလက်များကို ရယူနိုင်ခြေကို ဖန်တီးပေးသည်။
IDOR ရွေးချယ်စရာများထဲမှ တစ်ခုသည် ဤအရာဝတ္တုများသို့ ဝင်ရောက်ခွင့် identifiers များကို ကြိုးကိုင်ခြင်းဖြင့် စနစ်အရာဝတ္တုများ (အသုံးပြုသူများ၊ ဘဏ်အကောင့်များ၊ စျေးဝယ်လှည်းရှိ အရာများ) နှင့် လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန်ဖြစ်သည်။ ဒါက ကြိုတင်ခန့်မှန်းလို့မရတဲ့ အကျိုးဆက်တွေကို ဖြစ်ပေါ်စေတယ်။ ဥပမာအားဖြင့်၊ သင်သည် ၎င်းတို့ကို အခြားအသုံးပြုသူများထံမှ ခိုးယူနိုင်သည့် ရန်ပုံငွေပေးပို့သူ၏ အကောင့်ကို အစားထိုးရန် ဖြစ်နိုင်ခြေရှိသည်။
MCS ကိစ္စတွင်၊ စာရင်းစစ်များသည် လုံခြုံမှုမရှိသော identifiers များနှင့်ဆက်စပ်နေသော IDOR အားနည်းချက်တစ်ခုကို တွေ့ရှိခဲ့သည်။ အသုံးပြုသူ၏ကိုယ်ရေးကိုယ်တာအကောင့်တွင်၊ လုံခြုံရေးကျွမ်းကျင်သူများက အထင်ကြီးလောက်စရာမလုံခြုံဟုထင်ရသည့် မည်သည့်အရာဝတ္ထုကိုမဆို ဝင်ရောက်ကြည့်ရှုရန် UUID identifiers များကို အသုံးပြုထားသည်။ သို့သော် အချို့သောအဖွဲ့အစည်းများအတွက်၊ ပုံမှန်ကြိုတင်ခန့်မှန်းနိုင်သောနံပါတ်များကို အပလီကေးရှင်း၏အသုံးပြုသူများ၏အချက်အလက်များရရှိရန်အသုံးပြုကြောင်းတွေ့ရှိခဲ့သည်။ အသုံးပြုသူ ID ကို တစ်ခုပြီးတစ်ခုပြောင်းရန်၊ တောင်းဆိုချက်ကို ထပ်မံပေးပို့ပြီး ACL (ဝင်ရောက်ခွင့်ထိန်းချုပ်မှုစာရင်း၊ လုပ်ငန်းစဉ်များနှင့် အသုံးပြုသူများအတွက် ဒေတာဝင်ရောက်ခွင့်စည်းမျဉ်းများ) ကိုကျော်ဖြတ်၍ အချက်အလက်များရယူရန် သင်ခန့်မှန်းနိုင်သည်ဟု ကျွန်ုပ်ထင်ပါတယ်။
ဆာဗာဖက်က တောင်းဆိုမှု အတုအပ (SSRF)
OpenSource ထုတ်ကုန်များအကြောင်း ကောင်းသောအချက်မှာ ၎င်းတို့တွင် ဖြစ်ပေါ်လာသော ပြဿနာများကို အသေးစိတ်နည်းပညာဆိုင်ရာ ဖော်ပြချက်များပါရှိသော ဖိုရမ်များစွာရှိပြီး သင်ကံကောင်းပါက ဖြေရှင်းချက်၏ဖော်ပြချက်ဖြစ်သည်။ သို့သော် ဤဒင်္ဂါးတွင် လှန်သည့်ဘက်ပါရှိသည်- သိရှိထားသော အားနည်းချက်များကို အသေးစိတ်ဖော်ပြထားပါသည်။ ဥပမာအားဖြင့်၊ OpenStack ဖိုရမ်တွင် အားနည်းချက်များအကြောင်း အံ့သြဖွယ်ဖော်ပြချက်များရှိသည်။
အပလီကေးရှင်းများ၏ ဘုံလုပ်ဆောင်ချက်တစ်ခုမှာ ဆာဗာမှ နှိပ်ထားသည့် လင့်ခ်တစ်ခုပေးပို့ရန် သုံးစွဲသူအတွက် စွမ်းရည်ဖြစ်သည် (ဥပမာ၊ သတ်မှတ်ထားသော အရင်းအမြစ်မှ ပုံတစ်ပုံကို ဒေါင်းလုဒ်လုပ်ရန်)။ လုံခြုံရေးကိရိယာများက ၎င်းတို့ကိုယ်တိုင် လင့်ခ်များကို စစ်ထုတ်ခြင်းမပြုပါက သို့မဟုတ် ဆာဗာမှ သုံးစွဲသူများထံ ပြန်ပေးသည့် တုံ့ပြန်မှုများကို တိုက်ခိုက်သူများသည် အဆိုပါလုပ်ဆောင်ချက်ကို အလွယ်တကူ အသုံးပြုနိုင်သည်။
SSRF အားနည်းချက်များသည် တိုက်ခိုက်မှုတစ်ခု၏ ဖွံ့ဖြိုးတိုးတက်မှုကို များစွာတိုးတက်စေနိုင်သည်။ တိုက်ခိုက်သူသည် ရနိုင်သည်-
- ဥပမာအားဖြင့်၊ အချို့သော network segments များနှင့် အချို့သော protocol ကိုအသုံးပြုခြင်းဖြင့်သာ တိုက်ခိုက်ခံရသော local network သို့ဝင်ရောက်ခွင့်ကို ကန့်သတ်ထားပါသည်။
- အပလီကေးရှင်းအဆင့်မှ သယ်ယူပို့ဆောင်ရေးအဆင့်သို့ အဆင့်နှိမ့်ပါက ဒေသဆိုင်ရာကွန်ရက်သို့ အပြည့်အဝဝင်ရောက်ခွင့်ရှိပြီး ရလဒ်အနေဖြင့် အပလီကေးရှင်းအဆင့်တွင် ဝန်အပြည့်စီမံခန့်ခွဲမှု၊
- ဆာဗာပေါ်ရှိ ဒေသန္တရဖိုင်များကို ဖတ်ရန်ဝင်ရောက်ခွင့် (file:/// အစီအစဉ်ကို ပံ့ပိုးထားပါက);
- ပြီးအများကြီးပို။
SSRF အားနည်းချက်ကို သဘောသဘာဝအရ "ကန်းသည်" ဖြစ်သည့် OpenStack တွင် ကြာမြင့်စွာကတည်းက သိထားပြီးဖြစ်သည်- သင်ဆာဗာကို ဆက်သွယ်သောအခါ၊ ၎င်းထံမှ တုံ့ပြန်မှုကို သင်မရရှိခဲ့ပါ၊ သို့သော် တောင်းဆိုမှု၏ရလဒ်ပေါ်မူတည်၍ ကွဲပြားသော အမှားအယွင်းများ/နှောင့်နှေးမှုများကို သင်လက်ခံရရှိသည် . ၎င်းကိုအခြေခံ၍၊ သင်သည် လျှော့တွက်၍မရသော နောက်ဆက်တွဲအကျိုးဆက်များအားလုံးကို internal network ရှိ host များပေါ်တွင် port scan လုပ်နိုင်သည်။ ဥပမာအားဖြင့်၊ ထုတ်ကုန်တစ်ခုတွင် ကော်ပိုရိတ်ကွန်ရက်မှသာလျှင် အသုံးပြုနိုင်သော back-office API တစ်ခုရှိနိုင်သည်။ စာရွက်စာတမ်းများဖြင့် (အတွင်းလူများအကြောင်း မမေ့ပါနှင့်)၊ တိုက်ခိုက်သူသည် အတွင်းပိုင်းနည်းလမ်းများကို ရယူရန် SSRF ကို အသုံးပြုနိုင်သည်။ ဥပမာအားဖြင့်၊ အကယ်၍ သင်သည် အသုံးဝင်သော URL များစာရင်းကို တစ်နည်းနည်းဖြင့် ရယူနိုင်ခဲ့ပါက၊ ထို့နောက် SSRF ကို အသုံးပြု၍ ၎င်းတို့ကို ဖြတ်ကျော်ကာ တောင်းဆိုမှုတစ်ခုကို လုပ်ဆောင်နိုင်သည် - ပြောရလျှင် အကောင့်မှ ငွေလွှဲခြင်း သို့မဟုတ် ကန့်သတ်ချက်များကို ပြောင်းလဲနိုင်သည်။
OpenStack တွင် SSRF အားနည်းချက်ကို ရှာဖွေတွေ့ရှိခြင်းသည် ပထမဆုံးအကြိမ်မဟုတ်ပါ။ ယခင်ကလည်း အလားတူအကျိုးဆက်များကို ဖြစ်စေသည့် တိုက်ရိုက်လင့်ခ်မှ VM ISO ပုံများကို ဒေါင်းလုဒ်လုပ်နိုင်သည်။ ဤအင်္ဂါရပ်ကို OpenStack မှ ဖယ်ရှားလိုက်ပါပြီ။ ထင်ရှားသည်မှာ၊ ဤပြဿနာအတွက် အရိုးရှင်းဆုံးနှင့် ယုံကြည်ရဆုံးသော ဖြေရှင်းနည်းဖြစ်သည်ဟု အသိုင်းအဝိုင်းက ယူဆကြသည်။
နှင့်
MCS တွင်၊ SSRF အားနည်းချက်များကို တူညီသောလုပ်ဆောင်နိုင်စွမ်းရှိသည့် နေရာနှစ်ခုတွင် ရှာဖွေတွေ့ရှိခဲ့သော်လည်း Firewall နှင့် အခြားကာကွယ်မှုများကြောင့် ၎င်းတို့ကို အသုံးချရန် မဖြစ်နိုင်သလောက်ဖြစ်သည်။ တစ်နည်းမဟုတ်တစ်နည်း၊ MCS အဖွဲ့သည် ရပ်ရွာကိုမစောင့်ဘဲ ဤပြဿနာကို ဖြေရှင်းခဲ့သည်။
ဘူးခွံများကို တင်ခြင်းအစား XSS
ရာနှင့်ချီသောလေ့လာမှုများရေးသားခဲ့သော်လည်း တစ်နှစ်ပြီးတစ်နှစ် XSS (cross-site scripting) တိုက်ခိုက်မှုသည် အများဆုံးဖြစ်နေဆဲဖြစ်သည်။
ဖိုင်အပ်လုဒ်များသည် လုံခြုံရေးသုတေသီတိုင်းအတွက် အကြိုက်ဆုံးနေရာဖြစ်သည်။ pentesters ၏အသုံးအနှုန်းအရ - "load shell" တွင် သင်သည် မထင်သလို script (asp/jsp/php) ကို တင်နိုင်ပြီး OS commands များကို လုပ်ဆောင်နိုင်သည် ။ သို့သော် ထိုအားနည်းချက်များ၏ ရေပန်းစားမှုသည် လမ်းကြောင်းနှစ်ခုလုံးတွင် အလုပ်လုပ်သည်- ၎င်းတို့ကို မှတ်သားထားပြီး ၎င်းတို့နှင့် ဆန့်ကျင်သည့် ကုစားမှုများကို တီထွင်ထားသည်၊ ထို့ကြောင့် မကြာသေးမီက "အခွံတစ်ခုကို တင်ခြင်း" ဖြစ်နိုင်ခြေသည် သုညသို့ ရောက်သွားပါသည်။
တိုက်ခိုက်မှုအဖွဲ့ (ဒစ်ဂျစ်တယ်လုံခြုံရေးက ကိုယ်စားပြုသည်) ကံကောင်းသည်။ အိုကေ၊ ဆာဗာဘက်ရှိ MCS တွင် ဒေါင်းလုဒ်လုပ်ထားသောဖိုင်များ၏ အကြောင်းအရာများကို အမှန်ခြစ်ထားကာ ပုံများကိုသာ ခွင့်ပြုထားသည်။ ဒါပေမယ့် SVG ကတော့ ပုံတစ်ခုပါပဲ။ SVG ပုံများသည် မည်သို့အန္တရာယ်ရှိနိုင်သနည်း။ JavaScript အတိုအထွာများကို ၎င်းတို့တွင် ထည့်သွင်းနိုင်သောကြောင့်ဖြစ်သည်။
ဒေါင်းလုဒ်လုပ်ထားသောဖိုင်များကို MCS ဝန်ဆောင်မှု၏အသုံးပြုသူများအားလုံးတွင်ရရှိနိုင်ပြီး ဆိုလိုသည်မှာ ၎င်းသည် အခြားသော cloud အသုံးပြုသူများဖြစ်သည့် စီမံခန့်ခွဲသူများကို တိုက်ခိုက်ရန်ဖြစ်နိုင်သည်ဟု ဆိုလိုသည်။
ဖြားယောင်းသောဝင်ရောက်မှုပုံစံတွင် XSS တိုက်ခိုက်မှု၏ဥပမာ
XSS တိုက်ခိုက်မှုကို အသုံးချခြင်း၏ ဥပမာများ-
- တင်ထားသော script သည် အရင်းအမြစ် API ကိုချက်ချင်းဝင်ရောက်နိုင်ပါက၊ (အထူးသဖြင့် HTTP-Only cookies များသည် နေရာတိုင်းတွင်ရှိပြီး၊ js scripts များကို ခိုးယူခြင်းမှကာကွယ်ထားသောကြောင့် session တစ်ခုကို ခိုးယူရန် ဘာကြောင့်ကြိုးစားရသနည်း။ ဤကိစ္စတွင်၊ payload သည် server configuration ကိုပြောင်းလဲရန် XHR တောင်းဆိုမှုများကို အသုံးပြုနိုင်ပြီး ဥပမာအားဖြင့်၊ attacker ၏ public SSH key ကိုထည့်ကာ ဆာဗာသို့ SSH access ကို ရယူနိုင်သည်။
- CSP ပေါ်လစီ (အကြောင်းအရာကာကွယ်ရေးမူဝါဒ) သည် JavaScript ကိုထိုးသွင်းခြင်းမပြုရန်တားမြစ်ပါက၊ တိုက်ခိုက်သူသည် ၎င်းကိုမ၀င်ရောက်နိုင်ပါ။ သန့်ရှင်းသော HTML ကို အသုံးပြု၍ ဝဘ်ဆိုက်အတွက် အကောင့်ဝင်ခြင်းပုံစံအတုကို ဖန်တီးပြီး ဤအဆင့်မြင့်ဖြားယောင်းခြင်းမှတစ်ဆင့် စီမံခန့်ခွဲသူ၏စကားဝှက်ကို ခိုးယူပါ- အသုံးပြုသူအတွက် ဖြားယောင်းခြင်းစာမျက်နှာသည် တူညီသော URL တွင်အဆုံးသတ်သွားပြီး ၎င်းကို အသုံးပြုသူရှာဖွေရန် ပိုမိုခက်ခဲသည်။
- နောက်ဆုံးတွင် တိုက်ခိုက်သူသည် စီစဉ်ပေးနိုင်သည်။
client DoS — 4 KB ထက်ကြီးသော ကွတ်ကီးများကို သတ်မှတ်ပါ။ အသုံးပြုသူသည် လင့်ခ်ကို တစ်ကြိမ်သာဖွင့်ရန် လိုအပ်ပြီး ဆိုက်တစ်ခုလုံးသည် ဘရောက်ဆာကို သီးသန့်ရှင်းလင်းရန် မစဉ်းစားမချင်း အသုံးပြုသူထံ အရောက်လှမ်းနိုင်မည်မဟုတ်ပါ- ကိစ္စအများစုတွင်၊ ဝဘ်ဆာဗာသည် ထိုသို့သော client ကို လက်ခံရန် ငြင်းဆိုလိမ့်မည်။
ဤတစ်ကြိမ်တွင် ပိုမိုထက်မြက်သော အသုံးချမှုဖြင့် ရှာဖွေတွေ့ရှိထားသော နောက်ထပ် XSS ၏ ဥပမာကို ကြည့်ကြပါစို့။ MCS ဝန်ဆောင်မှုသည် သင့်အား firewall ဆက်တင်များကို အုပ်စုများအဖြစ် ပေါင်းစပ်နိုင်စေပါသည်။ အဖွဲ့အမည်မှာ XSS ကို ရှာတွေ့သည့်နေရာဖြစ်သည်။ ၎င်း၏ထူးခြားချက်မှာ စည်းမျဉ်းများစာရင်းကိုကြည့်သည့်အခါမဟုတ်ဘဲ အုပ်စုတစ်ခုကိုဖျက်လိုက်သည့်အခါတွင် vector ကို ချက်ချင်းစတင်ခဲ့ခြင်းမဟုတ်ပေ။
ဆိုလိုသည်မှာ၊ အဖြစ်အပျက်သည် အောက်ပါအတိုင်း ဖြစ်လာသည်- တိုက်ခိုက်သူသည် အမည်ဖြင့် “load” ဖြင့် firewall စည်းမျဉ်းကို ဖန်တီးသည်၊ စီမံခန့်ခွဲသူက ၎င်းကို ခဏအကြာတွင် သတိပြုမိပြီး ဖျက်ခြင်းလုပ်ငန်းစဉ်ကို စတင်သည်။ ပြီးတော့ ဒါက အန္တရာယ်ရှိတဲ့ JS အလုပ်လုပ်တဲ့နေရာပါ။
MCS ဆော့ဖ်ဝဲရေးသားသူများအတွက်၊ ဒေါင်းလုဒ်လုပ်ထားသော SVG ပုံများတွင် XSS ကို ကာကွယ်ရန် (၎င်းတို့ကို စွန့်ပစ်၍မရပါက)၊ ဒစ်ဂျစ်တယ်လုံခြုံရေးအဖွဲ့မှ အကြံပြုထားသည်-
- “ကွတ်ကီးများ” နှင့် မသက်ဆိုင်သော သီးခြားဒိုမိန်းတစ်ခုတွင် အသုံးပြုသူများ အပ်လုဒ်လုပ်ထားသော ဖိုင်များကို နေရာချပါ။ ဇာတ်ညွှန်းကို မတူညီသောဒိုမိန်းတစ်ခု၏အခြေအနေတွင် လုပ်ဆောင်မည်ဖြစ်ပြီး MCS ကို ခြိမ်းခြောက်မည်မဟုတ်ပါ။
- ဆာဗာ၏ HTTP တုံ့ပြန်မှုတွင်၊ "အကြောင်းအရာ-သဘောထား- ပူးတွဲပါဖိုင်" ခေါင်းစီးကို ပေးပို့ပါ။ ထို့နောက် ဖိုင်များကို browser မှ ဒေါင်းလုဒ်လုပ်မည်ဖြစ်ပြီး လုပ်ဆောင်မည်မဟုတ်ပါ။
ထို့အပြင်၊ ယခု XSS အမြတ်ထုတ်ခြင်း၏ အန္တရာယ်များကို လျော့ပါးစေရန် developer များအတွက် နည်းလမ်းများစွာ ရှိပါသည်-
- “HTTP သာလျှင်” အလံကိုအသုံးပြု၍ သင်သည် စက်ရှင် “ကွတ်ကီးများ” ခေါင်းစီးများကို အန္တရာယ်ရှိသော JavaScript တွင် လက်လှမ်းမမီနိုင်အောင် ပြုလုပ်နိုင်သည်။
CSP ပေါ်လစီကို မှန်ကန်စွာ အကောင်အထည်ဖော်ခဲ့သည်။ တိုက်ခိုက်သူသည် XSS ကို အသုံးချရန် ပိုမိုခက်ခဲစေလိမ့်မည်;- Angular သို့မဟုတ် React ကဲ့သို့သော ခေတ်မီ template အင်ဂျင်များသည် သုံးစွဲသူ၏ဘရောက်ဆာသို့ မထုတ်မီ သုံးစွဲသူဒေတာကို အလိုအလျောက် သန့်စင်ပေးသည်။
Two-Factor Authentication အားနည်းချက်များ
အကောင့်လုံခြုံရေးကို မြှင့်တင်ရန်အတွက် သုံးစွဲသူများအား 2FA ( two-factor authentication ) ကို အမြဲတမ်းဖွင့်ရန် အကြံပြုထားသည်။ အမှန်တကယ်ပင်၊ ၎င်းသည် အသုံးပြုသူ၏အထောက်အထားများ အပေးအယူခံရပါက တိုက်ခိုက်သူသည် ဝန်ဆောင်မှုတစ်ခုသို့ ဝင်ရောက်ခွင့်မရအောင် ထိရောက်သောနည်းလမ်းဖြစ်သည်။
သို့သော် ဒုတိယအထောက်အထားစိစစ်ခြင်းအချက်ကို အသုံးပြုခြင်းသည် အကောင့်လုံခြုံရေးကို အမြဲအာမခံပါသလား။ 2FA ကို အကောင်အထည်ဖော်ရာတွင် အောက်ပါလုံခြုံရေးပြဿနာများ ရှိပါသည်။
- OTP ကုဒ် (တစ်ကြိမ်သုံးကုဒ်များ) ၏ Brute-force ရှာဖွေမှု။ လည်ပတ်မှု ရိုးရှင်းသော်လည်း၊ OTP brute force ကို အကာအကွယ်မရှိခြင်းကဲ့သို့သော အမှားအယွင်းများကို ကုမ္ပဏီကြီးများက ကြုံတွေ့နေရသည်-
အားမနာနဲ့ ,Facebook ကိစ္စ . - အားနည်းသောမျိုးဆက် အယ်လဂိုရီသမ်၊ ဥပမာ၊ နောက်ကုဒ်ကို ခန့်မှန်းနိုင်မှု။
- ဤကဲ့သို့သော သင့်ဖုန်းရှိ အခြားသူတစ်ဦး၏ OTP ကို တောင်းဆိုနိုင်မှုကဲ့သို့သော ယုတ္တိတန်သောအမှားများ
ကဖြစ် Shopify မှ
MCS ကိစ္စတွင် Google Authenticator နှင့် 2FA ကို အခြေခံ၍ အကောင်အထည်ဖော်သည်။
MCS 2FA ကို နေရာများစွာတွင် အသုံးပြုသည်-
- အသုံးပြုသူကို စစ်မှန်ကြောင်း စစ်ဆေးသောအခါ။ brute force ကို ကာကွယ်မှု ရှိသည်- အသုံးပြုသူသည် တစ်ကြိမ်စကားဝှက်ကို ရိုက်ထည့်ရန် အကြိမ်အနည်းငယ်သာ ကြိုးပမ်းခဲ့ပြီး၊ ထို့နောက် ထည့်သွင်းမှုကို ခဏပိတ်ဆို့ထားသည်။ ၎င်းသည် OTP ၏ brute-force ရွေးချယ်မှု ဖြစ်နိုင်ခြေကို ပိတ်ဆို့သည်။
- 2FA ကို လုပ်ဆောင်ရန် အော့ဖ်လိုင်း အရန်ကုဒ်များကို ထုတ်လုပ်သည့်အခါ၊ ၎င်းကို ပိတ်ထားသည်။ ဤတွင်၊ အကောင့်အတွက် စကားဝှက်တစ်ခုနှင့် အသက်ဝင်သော စက်ရှင်တစ်ခုရှိလျှင် အရန်ကုဒ်များကို ပြန်ထုတ်ရန် သို့မဟုတ် 2FA ကို လုံးဝပိတ်ရန် ဤနေရာတွင် brute force အကာအကွယ်ကို အကောင်အထည်မဖော်ခဲ့ပါ။
အရန်ကုဒ်များသည် OTP အပလီကေးရှင်းမှ ထုတ်လုပ်သည့် လိုင်းတန်ဖိုးများ တူညီသောအကွာအဝေးတွင် ရှိနေသည်ဟု ယူဆပါက၊ အချိန်တိုအတွင်း ကုဒ်ကို ရှာတွေ့နိုင်ခြေမှာ ပိုမိုမြင့်မားပါသည်။
"Burp: Intruder" ကိရိယာကို အသုံးပြု၍ 2FA ကို ပိတ်ရန် OTP တစ်ခုကို ရွေးချယ်ခြင်း လုပ်ငန်းစဉ်
ရလဒ်
ယေဘုယျအားဖြင့် MCS သည် ထုတ်ကုန်တစ်ခုအနေဖြင့် ဘေးကင်းပုံရသည်။ စာရင်းစစ်ကာလအတွင်း၊ pentesting အဖွဲ့သည် client VM များနှင့် ၎င်းတို့၏ဒေတာများကို သုံးစွဲခွင့်မရခဲ့ဘဲ တွေ့ရှိရသည့် အားနည်းချက်များကို MCS အဖွဲ့မှ လျင်မြန်စွာ ပြုပြင်ပေးခဲ့ပါသည်။
သို့သော် ဤနေရာတွင် လုံခြုံရေးသည် စဉ်ဆက်မပြတ် လုပ်ဆောင်နေခြင်းဖြစ်ကြောင်း သတိပြုရန် အရေးကြီးပါသည်။ ဝန်ဆောင်မှုများသည် တည်ငြိမ်မှုမရှိပါ၊ ၎င်းတို့သည် အဆက်မပြတ် ပြောင်းလဲနေသည်။ ပြီးတော့ အားနည်းချက်တွေမရှိဘဲ ထုတ်ကုန်တစ်ခုကို တီထွင်ဖို့ဆိုတာ မဖြစ်နိုင်ပါဘူး။ သို့သော် ၎င်းတို့ကို အချိန်မီရှာဖွေနိုင်ပြီး ၎င်းတို့ပြန်ဖြစ်နိုင်ခြေကို လျှော့ချနိုင်သည်။
ယခုအခါ MCS တွင်ဖော်ပြထားသော အားနည်းချက်များအားလုံးကို ပြုပြင်ပြီးဖြစ်သည်။ အသစ်အရေအတွက်ကို အနည်းဆုံးဖြစ်အောင် ထိန်းထားရန်နှင့် ၎င်းတို့၏ သက်တမ်းကို လျှော့ချရန်အတွက်၊ ပလပ်ဖောင်းအဖွဲ့သည် ဤအရာကို ဆက်လက်လုပ်ဆောင်နေပါသည်။
- ပြင်ပကုမ္ပဏီများမှ စာရင်းစစ်များ ပုံမှန်ပြုလုပ်ခြင်း၊
- ပံ့ပိုးပြီး ပူးပေါင်းပါဝင်မှု ဖွံ့ဖြိုးတိုးတက်စေခြင်း။
Mail.ru Group Bug Bounty ပရိုဂရမ်တွင် ; - လုံခြုံရေးတွင်ပါဝင်ပါ။ 🙂
source: www.habr.com