🥇 د MCS کلاوډ پلیټ فارم امنیت پلټنه

اسکائی شپ ډسک د سیر لائټ لخوا

د هر خدمت رامینځته کول لازمي د امنیت په اړه دوامداره کار شامل دي. امنیت یوه دوامداره پروسه ده چې په دوامداره توګه تحلیل او د محصول امنیت ښه کول، د زیانونو په اړه د خبرونو څارنه او نور ډیر څه شامل دي. د پلټنې په شمول. پلټنې په کور دننه او هم د بهرنیو متخصصینو لخوا ترسره کیږي، کوم چې کولی شي په بشپړ ډول د امنیت سره مرسته وکړي ځکه چې دوی په پروژه کې ډوب ندي او خلاص ذهن لري.

مقاله د بهرني کارپوهانو د دې خورا مستقیم لید په اړه ده چې د Mail.ru کلاوډ حلونو (MCS) ټیم سره یې د کلاوډ خدمت ازموینه کې مرسته کړې ، او د هغه څه په اړه چې دوی وموندل. د "بهرني ځواک" په توګه، MCS د ډیجیټل امنیت شرکت غوره کړ، چې د معلوماتو امنیتي حلقو کې د لوړ مهارت لپاره پیژندل شوی. او پدې مقاله کې به موږ د بهرنۍ پلټنې د یوې برخې په توګه موندل شوي ځینې په زړه پوري زیانونه تحلیل کړو - ترڅو تاسو د ورته ریک څخه مخنیوی وکړئ کله چې تاسو خپل کلاوډ خدمت رامینځته کوئ.

د محصول تفصیل

Mail.ru کلاوډ حلونه (MCS) په بادل کې د مجازی زیربنا جوړولو لپاره یو پلیټ فارم دی. پدې کې IaaS، PaaS، او د پراختیا کونکو لپاره د چمتو شوي غوښتنلیک عکسونو بازار ځای شامل دی. د MCS جوړښت په پام کې نیولو سره، دا اړینه وه چې په لاندې برخو کې د محصول خوندیتوب وګورئ:

د مجازی کولو چاپیریال زیربنا ساتنه: هایپروایسر، روټینګ، اور وژونکي؛
د پیرودونکو مجازی زیربنا ساتنه: له یو بل څخه جلا کول، په شمول د شبکې، په SDN کې خصوصي شبکې؛
OpenStack او د هغې خلاصې برخې؛
زموږ د خپل ډیزاین S3؛
IAM: څو کرایه کونکي پروژې د رول ماډل سره؛
لید (د کمپیوټر لید): APIs او زیانونه کله چې د عکسونو سره کار کوي؛
ویب انٹرفیس او کلاسیک ویب بریدونه؛
د PaaS اجزاوو زیانمنتیا؛
د ټولو برخو API.

شاید دا ټول هغه څه دي چې د راتلونکي تاریخ لپاره اړین دي.

څه ډول کار ترسره شو او ولې ورته اړتیا وه؟

د امنیت پلټنه موخه د زیان منونکو او تشکیلاتو غلطیو پیژندل دي چې کولی شي د شخصي معلوماتو د افشا کیدو، د حساسو معلوماتو د تعدیل، یا د خدماتو شتون کې خنډ رامنځته کړي.

د کار په جریان کې، چې په اوسط ډول 1-2 میاشتې دوام کوي، پلټونکي د احتمالي برید کونکو عملونه تکراروي او د ټاکل شوي خدماتو پیرودونکي او سرور برخو کې زیانمننې لټوي. د MCS کلاوډ پلیټ فارم د پلټنې په شرایطو کې، لاندې اهداف په ګوته شوي:

په خدمت کې د اعتبار تحلیل. په دې برخه کې زیانمنتیاوې به د نورو خلکو حسابونو ته په سمدستي توګه رسیدلو کې مرسته وکړي.
د رول ماډل مطالعه کول او د مختلف حسابونو ترمینځ د لاسرسي کنټرول. د برید کونکي لپاره ، د بل چا مجازی ماشین ته د لاسرسي وړتیا یو مطلوب هدف دی.
د پیرودونکي اړخ زیانونه. XSS/CSRF/CRLF/etc. ایا دا ممکنه ده چې د ناوړه اړیکو له لارې په نورو کاروونکو برید وکړئ؟
د سرور اړخ زیانونه: RCE او هر ډول انجیکشنونه (SQL/XXE/SSRF او داسې نور). د سرور زیانمننې په عموم ډول موندل خورا ستونزمن دي، مګر دوی په یوځل کې د ډیری کاروونکو جوړجاړی لامل کیږي.
د شبکې په کچه د کاروونکي برخې جلا کولو تحلیل. د برید کونکي لپاره ، د انزوا نشتوالی د نورو کاروونکو پروړاندې د برید سطح خورا زیاتوي.
د سوداګرۍ منطق تحلیل. ایا دا ممکنه ده چې سوداګرۍ غلا کړئ او وړیا مجازی ماشینونه رامینځته کړئ؟

په دې پروژه کې، کار د "خړ بکس" ماډل سره سم ترسره شو: پلټونکو د عادي کاروونکو د امتیازاتو سره د خدماتو سره اړیکه ونیوله، مګر په جزوي توګه د API سرچینې کوډ لري او د پراختیا کونکو سره د توضیحاتو روښانه کولو فرصت درلود. دا معمولا خورا اسانه دی، او په ورته وخت کې د کار خورا ریښتینی ماډل دی: داخلي معلومات لاهم د برید کونکي لخوا راټول کیدی شي، دا یوازې د وخت خبره ده.

زیانمنتیاوې وموندل شوې

مخکې لدې چې پلټونکی تصادفي ځایونو ته د مختلف تادیاتو بار (د برید ترسره کولو لپاره کارول کیږي) لیږل پیل کړي ، دا اړینه ده چې پوه شي چې شیان څنګه کار کوي او کوم فعالیت چمتو کیږي. ښایي داسې ښکاري چې دا یو بې ګټې تمرین دی، ځکه چې په ډیری مطالعې ځایونو کې به هیڅ ډول زیانونه شتون ونلري. مګر یوازې د غوښتنلیک جوړښت او د هغې د عملیاتو منطق پوهیدل به دا ممکنه کړي چې ترټولو پیچلي برید ویکتورونه ومومي.

دا مهمه ده چې هغه ځایونه ومومئ چې شکمن ښکاري یا په یو ډول له نورو څخه ډیر توپیر لري. او په دې لاره کې لومړی خطرناک زیان وموندل شو.

IDOR

IDOR (ناامنه مستقیم اعتراض حواله) زیانونه د سوداګرۍ منطق کې یو له خورا عام زیان منونکو څخه دی، کوم چې یو یا بل ته اجازه ورکوي هغه شیانو ته السرسي ترلاسه کړي چې په حقیقت کې د لاسرسي اجازه نلري. د IDOR زیان منونکي د مختلف درجو انتقادي کارونکي په اړه د معلوماتو ترلاسه کولو امکان رامینځته کوي.

د IDOR اختیارونو څخه یو دا دی چې دې شیانو ته د لاسرسي پیژندونکو په اداره کولو سره د سیسټم توکي (کارونکي ، بانکي حسابونه ، په پیرود کارټ کې توکي) سره عمل ترسره کړي. دا د خورا غیر متوقع پایلو لامل کیږي. د مثال په توګه، د فنډ لیږونکي حساب بدلولو امکان، د کوم له لارې تاسو کولی شئ د نورو کاروونکو څخه غلا کړئ.

د MCS په قضیه کې، پلټونکو یوازې د IDOR زیان منونکي وموندل چې د غیر خوندي پیژندونکو سره تړاو لري. د کارونکي په شخصي حساب کې، د UUID پیژندونکي هر ډول شیانو ته د لاسرسي لپاره کارول شوي، کوم چې ښکاري، لکه څنګه چې امنیتي کارپوهان وايي، په اغیزمنه توګه ناامنه (دا د وحشي ځواک بریدونو څخه ساتل کیږي). مګر د ځینو ادارو لپاره، دا وموندل شوه چې منظم اټکل شوي شمیرې د غوښتنلیک کاروونکو په اړه د معلوماتو ترلاسه کولو لپاره کارول کیږي. زه فکر کوم چې تاسو اټکل کولی شئ چې دا ممکنه وه چې د یو لخوا د کارونکي ID بدل کړئ، غوښتنه بیا واستوئ او په دې توګه د ACL (د لاسرسي کنټرول لیست، د پروسو او کاروونکو لپاره د معلوماتو لاسرسي قواعد) له لارې معلومات ترلاسه کړئ.

د سرور اړخ غوښتنه جعل (SSRF)

د OpenSource محصولاتو په اړه ښه شی دا دی چې دوی د ستونزو د تفصيلي تخنیکي توضیحاتو سره ډیری فورمونه لري چې رامینځته کیږي او که تاسو خوشحاله یاست، د حل توضیحات. مګر دا سکه یو فلپ اړخ لري: پیژندل شوي زیانونه هم په تفصیل سره بیان شوي. د مثال په توګه، د OpenStack فورم کې د زیان مننې په زړه پورې توضیحات شتون لري [XSS] и [SSRF]، کوم چې د ځینو دلیلونو لپاره هیڅوک د سمولو لپاره بیړه نه کوي.

د غوښتنلیکونو یو عام فعالیت د کارونکي لپاره وړتیا ده چې سرور ته لینک واستوي، کوم چې سرور کلیک کوي (د مثال په توګه، د یوې ځانګړې سرچینې څخه د انځور ډاونلوډ کول). که چیرې امنیتي وسیلې پخپله لینکونه فلټر نه کړي یا ځوابونه چې د سرور څخه کاروونکو ته بیرته راستانه شوي، دا ډول فعالیت په اسانۍ سره د برید کونکو لخوا کارول کیدی شي.

د SSRF زیانمننې کولی شي د برید پراختیا ته وده ورکړي. برید کوونکی کولی شي:

برید شوي محلي شبکې ته محدود لاسرسی، د بیلګې په توګه، یوازې د شبکې ځینې برخې او د یو ځانګړي پروتوکول په کارولو سره؛
محلي شبکې ته بشپړ لاسرسی، که چیرې د غوښتنلیک کچې څخه ترانسپورت کچې ته ښکته کول ممکن وي او په پایله کې، د غوښتنلیک په کچه د بشپړ بار مدیریت؛
په سرور کې د محلي فایلونو لوستلو ته لاسرسی (که چیرې فایل /// سکیم ملاتړ شوی وي)؛
او ډیر نور.

په OpenStack کې د SSRF زیانمنتیا له ډیرې مودې راهیسې پیژندل شوې، کوم چې په طبیعت کې "ړوند" دی: کله چې تاسو له سرور سره اړیکه ونیسئ، تاسو د هغې څخه ځواب نه ترلاسه کوئ، مګر تاسو د غوښتنې پایلې پورې اړه لري مختلف ډوله غلطۍ / ځنډونه ترلاسه کوئ. . د دې پراساس ، تاسو کولی شئ په داخلي شبکه کې په کوربه توب د پورټ سکین ترسره کړئ ، د ټولو راتلونکو پایلو سره چې باید کم اټکل نشي. د مثال په توګه، یو محصول ممکن د بیک دفتر API ولري چې یوازې د کارپوریټ شبکې څخه د لاسرسي وړ وي. د اسنادو سره (د داخلي په اړه مه هېروئ)، برید کوونکی کولی شي د داخلي میتودونو ته د لاسرسي لپاره SSRF وکاروي. د مثال په توګه، که تاسو په یو ډول توانیدلی یاست چې د ګټورو URLs نږدې لیست ترلاسه کړئ، نو د SSRF په کارولو سره تاسو کولی شئ د دوی له لارې لاړ شئ او غوښتنه وکړئ - نسبتا خبرې کول، د حساب څخه حساب ته پیسې لیږدول یا محدودیتونه بدلول.

دا لومړی ځل ندی چې په OpenStack کې د SSRF زیان منونکي موندل شوي. په تیرو کې ، دا ممکنه وه چې د مستقیم لینک څخه د VM ISO عکسونه ډاونلوډ کړئ ، کوم چې ورته پایلې هم رامینځته کړې. دا فیچر اوس د OpenStack څخه لیرې شوی دی. په ښکاره ډول، ټولنې دا د ستونزې ترټولو ساده او خورا باوري حل ګڼلی.

او په دا د HackerOne خدمت (h1) څخه په عامه توګه موجود راپور، د مثال په توګه د میټاډاټا لوستلو وړتیا سره د نور ړانده SSRF استخراج د Shopify ټول زیربنا ته د روټ لاسرسي لامل کیږي.

په MCS کې، د SSRF زیانونه په دوه ځایونو کې د ورته فعالیت سره وموندل شول، مګر د اور وژونکو او نورو محافظتونو له امله د دوی ګټه پورته کول تقریبا ناممکن وو. په یوه لاره یا بل ډول، د MCS ټیم دا ستونزه حل کړه، پرته له دې چې ټولنې ته انتظار وکړي.

XSS د شیلونو بارولو پرځای

د سلګونو مطالعاتو لیکلو سره سره، کال وروسته د XSS (د کراس سایټ سکریپټینګ) برید لاهم ترټولو لوی دی په مکرر ډول سره مخ کیږي د ویب زیانمنتیا (یا برید؟).

د فایل اپلوډ د هر امنیتي څیړونکي لپاره غوره ځای دی. دا اکثرا په ګوته کوي چې تاسو کولی شئ خپل سري سکریپټ پورته کړئ (asp/jsp/php) او د OS کمانډونه اجرا کړئ ، د پینټسټرونو په اصطلاح کې - "لوډ شیل". مګر د دې ډول زیانونو شهرت په دواړو لوریو کې کار کوي: دوی په یاد ساتل کیږي او د دوی پروړاندې درملنې رامینځته کیږي ، نو پدې وروستیو کې د "شیل بار کولو" احتمال صفر ته رسیږي.

د برید کونکي ټیم (د ډیجیټل امنیت لخوا نمایندګي) خوشحاله وه. ښه، په MCS کې د سرور اړخ کې د ډاونلوډ شوي فایلونو مینځپانګې چک شوي، یوازې عکسونو ته اجازه ورکړل شوې وه. مګر SVG هم یو انځور دی. د SVG انځورونه څنګه خطرناک کیدی شي؟ ځکه چې تاسو کولی شئ د جاواسکریپټ ټوټې په دوی کې ځای په ځای کړئ!

دا معلومه شوه چې ډاونلوډ شوي فایلونه د MCS خدماتو ټولو کاروونکو لپاره شتون لري، پدې معنی چې دا ممکنه ده چې د نورو بادل کاروونکو، لکه مدیرانو باندې برید وکړي.

د فشینګ ننوتلو فورمه کې د XSS برید یوه بیلګه

د XSS برید استخراج مثالونه:

ولې د ناستې د غلا کولو هڅه وکړئ (په ځانګړي توګه له اوس راهیسې HTTP- یوازې کوکیز هرچیرې دي، د js سکریپټونو په کارولو سره د غلا څخه خوندي دي)، که چیرې بار شوی سکریپټ سمدلاسه د سرچینې API ته لاسرسی ومومي؟ پدې حالت کې، تادیه کولی شي د سرور ترتیب بدلولو لپاره د XHR غوښتنې وکاروي، د بیلګې په توګه، د برید کونکي عامه SSH کیلي اضافه کړئ او سرور ته د SSH لاسرسی ترلاسه کړئ.
که چیرې د CSP پالیسي (د مینځپانګې محافظت پالیسي) جاواسکریپټ د انجیکشن کیدو څخه منع کوي ، برید کونکی کولی شي پرته له دې تیر شي. د خالص HTML په کارولو سره، د سایټ لپاره د جعلي ننوتلو فورمه جوړه کړئ او د دې پرمختللي فشینګ له لارې د مدیر پټنوم غلا کړئ: د کارونکي لپاره د فشینګ پاڼه په ورته URL کې پای ته رسیږي، او د کاروونکي لپاره دا معلومه کول خورا ستونزمن دي.
په پای کې، برید کوونکی کولی شي تنظیم کړي د پیرودونکي DoS - د 4 KB څخه لوی کوکیز تنظیم کړئ. کارونکي یوازې یو ځل لینک خلاصولو ته اړتیا لري، او ټوله سایټ د لاسرسي وړ نه وي تر هغه چې کاروونکي فکر وکړي چې په ځانګړي ډول براوزر پاک کړي: په ډیری قضیو کې، ویب سرور به د داسې پیرودونکي منلو څخه انکار وکړي.

راځئ چې د بل کشف شوي XSS مثال وګورو ، دا ځل د ډیر هوښیار استحصال سره. د MCS خدمت تاسو ته اجازه درکوي د اور وژنې تنظیمات په ډلو کې یوځای کړئ. د ډلې نوم هغه ځای و چې XSS کشف شو. د دې ځانګړتیا دا وه چې ویکتور سمدلاسه نه و پیل شوی، نه کله چې د قواعدو لیست وګورئ، مګر کله چې د یوې ډلې حذف کول:

دا ، سناریو په لاندې ډول وګرځیده: برید کونکی په نوم کې د "لوډ" سره د فایر وال قاعده رامینځته کوي ، مدیر یو څه وروسته دا خبر ورکوي او د حذف کولو پروسه پیل کوي. او دا هغه ځای دی چې ناوړه JS کار کوي.

د MCS پراختیا کونکو لپاره ، د ډاونلوډ شوي SVG عکسونو کې د XSS پروړاندې محافظت لپاره (که دوی پریښودل نشي) ، د ډیجیټل امنیت ټیم وړاندیز وکړ:

د کاروونکو لخوا اپلوډ شوي فایلونه په جلا ډومین کې ځای په ځای کړئ چې د "کوکیز" سره هیڅ تړاو نلري. سکریپټ به د مختلف ډومین په شرایطو کې اجرا شي او MCS ته به ګواښ ونه کړي.
د سرور د HTTP ځواب کې، د "منځپانګې-اختلاف: ضمیمه" سرلیک واستوئ. بیا به فایلونه د براوزر لخوا ډاونلوډ شي او نه اجرا کیږي.

سربیره پردې، اوس د پراختیا کونکو لپاره ډیری لارې شتون لري ترڅو د XSS استحصال خطرونه کم کړي:

د "یوازې د HTTP بیرغ" په کارولو سره، تاسو کولی شئ سیشن "کوکیز" سرلیکونه ناوړه جاواسکریپټ ته د لاسرسي وړ نه وي؛
په سمه توګه د CSP پالیسي پلي شوې د برید کونکي لپاره به د XSS څخه ګټه پورته کول خورا ستونزمن کړي؛
عصري ټیمپلیټ انجنونه لکه Angular یا React په اوتومات ډول د کارونکي ډیټا پاکوي مخکې لدې چې دا د کارونکي براوزر ته ورسوي.

د دوه فکتور تصدیق کولو زیانمننې

د حساب امنیت ښه کولو لپاره، کاروونکو ته تل مشوره ورکول کیږي چې 2FA (دوه فکتور تصدیق) فعال کړي. په حقیقت کې، دا یوه اغیزمنه لار ده چې د برید کونکي مخه ونیسي چې خدمت ته السرسی ترلاسه کړي که چیرې د کارونکي اعتبار سره موافقت شوی وي.

مګر ایا د دوهم تصدیق فاکتور کارول تل د حساب خوندیتوب تضمینوي؟ د 2FA په پلي کولو کې لاندې امنیتي ستونزې شتون لري:

د OTP کوډ د وحشي ځواک لټون (یو ځل کوډونه). د عملیاتو د سادګۍ سره سره، د لویو شرکتونو لخوا د OTP وحشي ځواک په وړاندې د محافظت نشتوالي په څیر غلطۍ هم ورسره مخ کیږي: سست قضیه, د فیسبوک قضیه.
کمزوری نسل الګوریتم، د مثال په توګه د راتلونکی کوډ وړاندوینه کولو وړتیا.
منطقي تېروتنې، لکه ستاسو په تلیفون کې د بل چا د OTP غوښتنه کولو وړتیا، لکه دا وه له Shopify څخه.

د MCS په حالت کې، 2FA د ګوګل تصدیق کونکي پر بنسټ پلي کیږي جوړه وه. پروتوکول پخپله د وخت ازمویل شوی ، مګر د غوښتنلیک اړخ کې د کوډ تصدیق پلي کول د چک کولو ارزښت لري.

MCS 2FA په څو ځایونو کې کارول کیږي:

کله چې د کارونکي تصدیق کول. د وحشي ځواک په وړاندې محافظت شتون لري: کارونکي یوازې یو څو هڅې لري چې یو ځل پاسورډ ته ننوځي ، بیا د یو څه مودې لپاره ان پټ بلاک شوی. دا د OTP د وحشي ځواک انتخاب احتمال بندوي.
کله چې د 2FA ترسره کولو لپاره د آفلاین بیک اپ کوډونه رامینځته کول ، او همدارنګه د دې غیر فعال کول. دلته ، د وحشي ځواک محافظت ندي پلي شوي ، کوم چې دا امکان رامینځته کړی ، که تاسو د حساب او فعال ناستې لپاره پاسورډ ولرئ ، د بیک اپ کوډونو بیا رامینځته کولو یا 2FA په بشپړ ډول غیر فعال کړئ.

د دې په پام کې نیولو سره چې د بیک اپ کوډونه د تار ارزښتونو په ورته حد کې موقعیت لري لکه څنګه چې د OTP غوښتنلیک لخوا رامینځته شوي، په لنډ وخت کې د کوډ موندلو چانس خورا لوړ و.

د "Burp: Intruder" وسیلې په کارولو سره د 2FA غیر فعالولو لپاره د OTP غوره کولو پروسه

نتيجه

په ټولیز ډول، MCS داسې ښکاري چې د محصول په توګه خوندي وي. د پلټنې په جریان کې، د پام وړ ټیم ونه توانید چې د مراجعینو VMs او د دوی معلوماتو ته السرسی ترلاسه کړي، او موندل شوي زیانمننې د MCS ټیم لخوا په چټکۍ سره سمې شوې.

خو دلته دا خبره مهمه ده چې امنیت یو دوامداره کار دی. خدمتونه جامد ندي، دوی په دوامداره توګه وده کوي. او دا ناشونې ده چې یو محصول په بشپړ ډول د زیانونو پرته وده وکړي. مګر تاسو کولی شئ دوی په وخت ومومئ او د دوی د تکرار چانس کم کړئ.

اوس په MCS کې ټول ذکر شوي زیانونه لا دمخه حل شوي دي. او د دې لپاره چې د نوي شمیر لږترلږه وساتئ او د دوی ژوند کم کړئ ، د پلیټ فارم ټیم دې کار ته دوام ورکوي:

په منظمه توګه د بهرنیو شرکتونو لخوا پلټنې ترسره کول؛
ملاتړ او د ګډون پراختیا د Mail.ru ګروپ بګ باونټي پروګرام کې;
په امنیت کې ښکیل شي. 🙂

سرچینه: www.habr.com

د MCS کلاوډ پلیټ فارم امنیت پلټنه