ProHoster > බ්ලොග් > පරිපාලනය > MCS වලාකුළු වේදිකාවේ ආරක්ෂක විගණනය

MCS වලාකුළු වේදිකාවේ ආරක්ෂක විගණනය

MCS වලාකුළු වේදිකාවේ ආරක්ෂක විගණනය
ස්කයිෂිප් ඩස්ක් SeerLight විසිනි

ඕනෑම සේවාවක් ගොඩනැගීමට අවශ්‍යයෙන්ම ආරක්ෂාව පිළිබඳ නිරන්තර වැඩ ඇතුළත් වේ. ආරක්ෂාව යනු නිරන්තර විශ්ලේෂණය සහ නිෂ්පාදන ආරක්ෂාව වැඩිදියුණු කිරීම, අවදානම් පිළිබඳ පුවත් අධීක්ෂණය සහ තවත් බොහෝ දේ ඇතුළත් අඛණ්ඩ ක්‍රියාවලියකි. විගණන ඇතුළුව. විගණන අභ්‍යන්තර සහ බාහිර විශේෂඥයින් විසින් සිදු කරනු ලබන අතර, ඔවුන් ව්‍යාපෘතියේ ගිලී නැති නිසා සහ විවෘත මනසක් ඇති නිසා ආරක්ෂාව සඳහා රැඩිකල් ලෙස උදව් කළ හැකිය.

Mail.ru Cloud Solutions (MCS) කණ්ඩායමට ක්ලවුඩ් සේවාව පරීක්‍ෂා කිරීමට උදව් කළ බාහිර ප්‍රවීණයන්ගේ මෙම සරලම දර්ශනය සහ ඔවුන් සොයාගත් දේ ගැන ලිපියයි. "බාහිර බලවේගයක්" ලෙස MCS විසින් තොරතුරු ආරක්ෂණ කවයන් පිළිබඳ ඉහළ විශේෂඥතාවක් සඳහා ප්රසිද්ධ ඩිජිටල් ආරක්ෂක සමාගම තෝරා ගත්තේය. මෙම ලිපියෙන් අපි බාහිර විගණනයක කොටසක් ලෙස සොයාගත් රසවත් දුර්වලතා විශ්ලේෂණය කරන්නෙමු - එවිට ඔබ ඔබේම වලාකුළු සේවාවක් නිර්මාණය කරන විට එම පරාලයම වළක්වා ගත හැකිය.

නිෂ්පාදන විස්තරය

Mail.ru Cloud Solutions (MCS) වලාකුළු තුළ අතථ්‍ය යටිතල පහසුකම් ගොඩනැගීම සඳහා වේදිකාවකි. එයට IaaS, PaaS සහ සංවර්ධකයින් සඳහා සූදානම් කළ යෙදුම් රූප වෙළඳපොළක් ඇතුළත් වේ. MCS ගෘහ නිර්මාණ ශිල්පය සැලකිල්ලට ගනිමින්, පහත සඳහන් ක්ෂේත්‍රවල නිෂ්පාදනයේ ආරක්ෂාව පරීක්ෂා කිරීම අවශ්‍ය විය:

  • අථත්යකරණ පරිසරයේ යටිතල පහසුකම් ආරක්ෂා කිරීම: හයිපර්වයිසර්, රවුටින්, ෆයර්වෝල්;
  • ගනුදෙනුකරුවන්ගේ අථත්ය යටිතල පහසුකම් ආරක්ෂා කිරීම: SDN හි ජාලය, පුද්ගලික ජාල ඇතුළුව එකිනෙකාගෙන් හුදකලා වීම;
  • OpenStack සහ එහි විවෘත සංරචක;
  • අපේම නිර්මාණයේ S3;
  • IAM: ආදර්ශයක් සහිත බහු කුලී නිවැසියන්ගේ ව්‍යාපෘති;
  • දැක්ම (පරිගණක දැක්ම): රූප සමඟ වැඩ කිරීමේදී API සහ දුර්වලතා;
  • වෙබ් අතුරු මුහුණත සහ සම්භාව්‍ය වෙබ් ප්‍රහාර;
  • PaaS සංරචක වල දුර්වලතා;
  • සියලුම සංරචකවල API.

සමහර විට එය තවදුරටත් ඉතිහාසය සඳහා අත්යවශ්ය වේ.

කුමන ආකාරයේ කාර්යයක් සිදු කළේද සහ එය අවශ්ය වූයේ ඇයි?

පුද්ගලික දත්ත කාන්දු වීම, සංවේදී තොරතුරු වෙනස් කිරීම හෝ සේවා ලබා ගැනීමේ බාධා කිරීම් වලට තුඩු දිය හැකි දුර්වලතා සහ වින්‍යාස කිරීමේ දෝෂ හඳුනා ගැනීම ආරක්ෂක විගණනය අරමුණු කරයි.

සාමාන්‍යයෙන් මාස 1-2 ක් පවතින කාර්යය අතරතුර, විගණකවරුන් විභව ප්‍රහාරකයින්ගේ ක්‍රියාවන් නැවත නැවතත් කරන අතර තෝරාගත් සේවාවේ සේවාදායකයා සහ සේවාදායක කොටස්වල ඇති දුර්වලතා සොයා බලයි. MCS වලාකුළු වේදිකාවේ විගණනයේ සන්දර්භය තුළ, පහත ඉලක්ක හඳුනා ගන්නා ලදී:

  1. සේවාවේ සත්‍යාපනය පිළිබඳ විශ්ලේෂණය. මෙම සංරචකයේ ඇති දුර්වලතා වෙනත් පුද්ගලයින්ගේ ගිණුම් වෙත වහාම ඇතුල් වීමට උපකාරී වේ.
  2. විවිධ ගිණුම් අතර ආදර්ශය සහ ප්‍රවේශ පාලනය අධ්‍යයනය කිරීම. ප්‍රහාරකයෙකු සඳහා, වෙනත් කෙනෙකුගේ අතථ්‍ය යන්ත්‍රයට ප්‍රවේශය ලබා ගැනීමේ හැකියාව යෝග්‍ය ඉලක්කයකි.
  3. සේවාලාභියාගේ පැත්තේ දුර්වලතා. XSS/CSRF/CRLF/ etc. අනිෂ්ට සබැඳි හරහා වෙනත් පරිශීලකයින්ට පහර දිය හැකිද?
  4. සේවාදායක පැත්තේ දුර්වලතා: RCE සහ සියලු වර්ගවල එන්නත් (SQL/XXE/SSRF සහ වෙනත්). සේවාදායක දුර්වලතා සොයා ගැනීම සාමාන්‍යයෙන් වඩා දුෂ්කර ය, නමුත් ඒවා එකවර බොහෝ පරිශීලකයින්ගේ සම්මුතියට හේතු වේ.
  5. ජාල මට්ටමින් පරිශීලක කොටස් හුදකලා කිරීම විශ්ලේෂණය කිරීම. ප්‍රහාරකයෙකු සඳහා, හුදකලාව නොමැතිකම අනෙකුත් පරිශීලකයින්ට එරෙහිව ප්‍රහාරක මතුපිට විශාල ලෙස වැඩි කරයි.
  6. ව්යාපාර තර්ක විශ්ලේෂණය. ව්‍යාපාර රවටා නොමිලේ අථත්‍ය යන්ත්‍ර නිර්මාණය කළ හැකිද?

මෙම ව්‍යාපෘතියේ දී, "Gray-box" ආකෘතියට අනුව වැඩ සිදු කරන ලදී: විගණකවරුන් සාමාන්‍ය පරිශීලකයින්ගේ වරප්‍රසාද සමඟ සේවාව සමඟ අන්තර් ක්‍රියා කළ නමුත් API හි ප්‍රභව කේතය අර්ධ වශයෙන් සතු වූ අතර සංවර්ධකයින් සමඟ විස්තර පැහැදිලි කිරීමට අවස්ථාව ලැබුණි. මෙය සාමාන්‍යයෙන් වඩාත්ම පහසු වන අතර ඒ සමඟම තරමක් යථාර්ථවාදී වැඩ ආකෘතියකි: අභ්‍යන්තර තොරතුරු තවමත් ප්‍රහාරකයෙකුට එකතු කළ හැකිය, එය කාලය පිළිබඳ ප්‍රශ්නයක් පමණි.

දුර්වලතා සොයා ගන්නා ලදී

විගණකවරයා අහඹු ස්ථාන වෙත විවිධ ගෙවීම් (ප්‍රහාරය සිදු කිරීමට භාවිතා කරන ලද බඩු) යැවීම ආරම්භ කිරීමට පෙර, දේවල් ක්‍රියාත්මක වන ආකාරය සහ කුමන ක්‍රියාකාරීත්වය සපයන්නේද යන්න තේරුම් ගැනීම අවශ්‍ය වේ. මෙය නිෂ්ඵල ව්‍යායාමයක් බව පෙනේ, මන්ද බොහෝ අධ්‍යයනය කරන ලද ස්ථානවල කිසිදු දුර්වලතාවයක් ඇති නොවනු ඇත. නමුත් යෙදුමේ ව්‍යුහය සහ එහි ක්‍රියාකාරිත්වයේ තර්කනය තේරුම් ගැනීමෙන් පමණක් වඩාත් සංකීර්ණ ප්‍රහාරක දෛශික සොයා ගැනීමට හැකි වේ.

සැක සහිත ලෙස පෙනෙන හෝ යම් ආකාරයකින් අනෙක් ඒවාට වඩා බෙහෙවින් වෙනස් ස්ථාන සොයා ගැනීම වැදගත් වේ. පළමු භයානක අවදානම මේ ආකාරයෙන් සොයා ගන්නා ලදී.

IDOR

IDOR (අනාරක්ෂිත සෘජු වස්තු යොමුව) දුර්වලතා යනු ව්‍යාපාරික තර්කනයේ වඩාත් පොදු අවදානම් වලින් එකකි, එමඟින් ප්‍රවේශය ඇත්ත වශයෙන්ම අවසර නොලබන වස්තූන් වෙත ප්‍රවේශය ලබා ගැනීමට එක් හෝ තවත් කෙනෙකුට ඉඩ සලසයි. IDOR දුර්වලතා විවිධ මට්ටම්වල විවේචනාත්මක පරිශීලකයෙකු පිළිබඳ තොරතුරු ලබා ගැනීමේ හැකියාව නිර්මාණය කරයි.

IDOR විකල්පයන්ගෙන් එකක් වන්නේ මෙම වස්තූන් වෙත ප්‍රවේශ හැඳුනුම්කාරක හැසිරවීමෙන් පද්ධති වස්තු (පරිශීලකයින්, බැංකු ගිණුම්, සාප්පු කරත්තයේ ඇති අයිතම) සමඟ ක්‍රියා සිදු කිරීමයි. මෙය වඩාත්ම අනපේක්ෂිත ප්රතිවිපාකවලට තුඩු දෙයි. උදාහරණයක් ලෙස, අරමුදල් යවන්නාගේ ගිණුම ප්‍රතිස්ථාපනය කිරීමේ හැකියාව, එමඟින් ඔබට වෙනත් පරිශීලකයින්ගෙන් ඒවා සොරකම් කළ හැකිය.

MCS සම්බන්ධයෙන් ගත් කල, විගණකවරුන් විසින් අනාරක්ෂිත හඳුනාගැනීම් හා සම්බන්ධ IDOR අවදානමක් සොයා ගන්නා ලදී. පරිශීලකයාගේ පුද්ගලික ගිණුමේ, ආරක්ෂක විශේෂඥයින් පවසන පරිදි, ආකර්ෂණීය ලෙස අනාරක්ෂිත (එනම්, තිරිසන් බල ප්‍රහාරවලින් ආරක්ෂා වී ඇති) ඕනෑම වස්තුවකට ප්‍රවේශ වීමට UUID හඳුනාගැනීම් භාවිතා කරන ලදී. නමුත් සමහර ආයතන සඳහා, යෙදුම භාවිතා කරන්නන් පිළිබඳ තොරතුරු ලබා ගැනීම සඳහා නිතිපතා පුරෝකථනය කළ හැකි සංඛ්යා භාවිතා කරන බව සොයා ගන්නා ලදී. පරිශීලක හැඳුනුම්පත එකකින් වෙනස් කිරීමට, නැවත ඉල්ලීම යැවීමට සහ ACL (ප්‍රවේශ පාලන ලැයිස්තුව, ක්‍රියාවලි සහ පරිශීලකයින් සඳහා දත්ත ප්‍රවේශ නීති) මඟහැර තොරතුරු ලබා ගැනීමට හැකි වූ බව ඔබට අනුමාන කළ හැකි යැයි මම සිතමි.

Server Side Request Forgery (SSRF)

OpenSource නිෂ්පාදනවල ඇති හොඳ දෙය නම්, පැන නගින ගැටළු පිළිබඳ සවිස්තරාත්මක තාක්ෂණික විස්තර සහිත සංසද විශාල ප්‍රමාණයක් සහ ඔබ වාසනාවන්ත නම්, විසඳුම පිළිබඳ විස්තරයක් තිබීමයි. නමුත් මෙම කාසියට පෙරළෙන පැත්තක් ඇත: දන්නා දුර්වලතා ද විස්තරාත්මකව විස්තර කෙරේ. උදාහරණයක් ලෙස, OpenStack සංසදයේ දුර්වලතා පිළිබඳ අපූරු විස්තර ඇත [XSS] и [SSRF], කිසියම් හේතුවක් නිසා කිසිවෙකු නිවැරදි කිරීමට ඉක්මන් නොවේ.

යෙදුම්වල පොදු ක්‍රියාකාරීත්වයක් වන්නේ පරිශීලකයාට සේවාදායකයට සබැඳියක් යැවීමට ඇති හැකියාවයි, එය සේවාදායකය ක්ලික් කරයි (උදාහරණයක් ලෙස, නිශ්චිත මූලාශ්‍රයකින් රූපයක් බාගත කිරීම). ආරක්‍ෂක මෙවලම් සබැඳි පෙරහන් නොකරන්නේ නම් හෝ සේවාදායකයෙන් පරිශීලකයින් වෙත ලබා දෙන ප්‍රතිචාර නොපෙන්වන්නේ නම්, එවැනි ක්‍රියාකාරීත්වය ප්‍රහාරකයන්ට පහසුවෙන් භාවිත කළ හැක.

SSRF දුර්වලතා ප්‍රහාරයක වර්ධනයට විශාල ලෙස ඉදිරියට යා හැක. ප්‍රහාරකයෙකුට ලබා ගත හැක:

  • ප්‍රහාරයට ලක් වූ දේශීය ජාලයට සීමිත ප්‍රවේශය, උදාහරණයක් ලෙස, ඇතැම් ජාල කොටස් හරහා සහ යම් ප්‍රොටෝකෝලයක් භාවිතා කිරීම පමණි;
  • දේශීය ජාලයට සම්පූර්ණ ප්‍රවේශය, යෙදුම් මට්ටමේ සිට ප්‍රවාහන මට්ටම දක්වා පහත හෙලීම හැකි නම් සහ එහි ප්‍රතිඵලයක් ලෙස යෙදුම් මට්ටමින් සම්පූර්ණ බර කළමනාකරණය කිරීම;
  • සේවාදායකයේ දේශීය ගොනු කියවීමට ප්‍රවේශය (ගොනුව: /// යෝජනා ක්‍රමයට සහය දක්වන්නේ නම්);
  • හා බොහෝ දේ.

SSRF අවදානමක් OpenStack තුළ බොහෝ කලක සිට දන්නා අතර, එය ස්වභාවයෙන් "අන්ධ" වේ: ඔබ සේවාදායකය හා සම්බන්ධ වූ විට, ඔබට එයින් ප්‍රතිචාරයක් නොලැබේ, නමුත් ඉල්ලීමේ ප්‍රතිඵලය අනුව ඔබට විවිධ ආකාරයේ දෝෂ/ප්‍රමාදයන් ලැබේ. . මෙය මත පදනම්ව, ඔබට අභ්‍යන්තර ජාලයේ ධාරක මත වරාය ස්කෑන් කිරීමක් සිදු කළ හැකිය, අවතක්සේරු නොකළ යුතු සියලු ඊළඟ ප්‍රතිවිපාක සමඟ. උදාහරණයක් ලෙස, නිෂ්පාදනයකට ආයතනික ජාලයෙන් පමණක් ප්‍රවේශ විය හැකි back-office API එකක් තිබිය හැක. ප්‍රලේඛනය සමඟ (අභ්‍යන්තර පුද්ගලයින් ගැන අමතක නොකරන්න), ප්‍රහාරකයෙකුට අභ්‍යන්තර ක්‍රම වෙත ප්‍රවේශ වීමට SSRF භාවිතා කළ හැක. උදාහරණයක් ලෙස, ඔබට කෙසේ හෝ ප්‍රයෝජනවත් URL වල ආසන්න ලැයිස්තුවක් ලබා ගැනීමට හැකි වූයේ නම්, SSRF භාවිතයෙන් ඔබට ඒවා හරහා ගොස් ඉල්ලීමක් ක්‍රියාත්මක කළ හැකිය - සාපේක්ෂව කථා කිරීම, ගිණුමෙන් ගිණුමට මුදල් මාරු කිරීම හෝ සීමාවන් වෙනස් කිරීම.

OpenStack හි SSRF අවදානමක් සොයාගත් පළමු අවස්ථාව මෙය නොවේ. අතීතයේ දී, සෘජු සබැඳියකින් VM ISO පින්තූර බාගත කිරීමට හැකි වූ අතර, එය සමාන ප්රතිවිපාකවලට ද හේතු විය. මෙම විශේෂාංගය දැන් OpenStack වෙතින් ඉවත් කර ඇත. පෙනෙන විදිහට, ප්‍රජාව මෙය ගැටලුවට සරලම සහ විශ්වාසදායක විසඳුම ලෙස සැලකේ.

සහ ඇතුළත මේ HackerOne සේවාව (h1) වෙතින් ප්‍රසිද්ධියේ ලබා ගත හැකි වාර්තාව, නිදසුන් පාර-දත්ත කියවීමේ හැකියාව සමඟ තවදුරටත් අන්ධ නොවන SSRF සූරාකෑම සමස්ත Shopify යටිතල ව්‍යූහය වෙත ප්‍රවේශ වීමට හේතු වේ.

MCS හි, SSRF දුර්වලතා සමාන ක්‍රියාකාරීත්වයක් ඇති ස්ථාන දෙකකින් සොයා ගන්නා ලදී, නමුත් ෆයර්වෝල් සහ වෙනත් ආරක්ෂණ හේතුවෙන් ඒවා ප්‍රයෝජනයට ගැනීමට නොහැකි තරම් විය. එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින්, MCS කණ්ඩායම ප්‍රජාව එනතුරු බලා නොසිට කෙසේ හෝ මෙම ගැටළුව විසඳා ඇත.

ෂෙල් වෙඩි පැටවීම වෙනුවට XSS

සිය ගණනක් අධ්‍යයනයන් ලියා ඇතත්, වසරින් වසර XSS (හරස් අඩවි පිටපත් කිරීම) ප්‍රහාරය තවමත් වඩාත්ම වේ නිතර හමු වේ වෙබ් අවදානම් (හෝ පහර දෙනවා?).

ගොනු උඩුගත කිරීම් ඕනෑම ආරක්ෂක පර්යේෂකයෙකු සඳහා ප්‍රියතම ස්ථානයකි. බොහෝ විට ඔබට අත්තනෝමතික ස්ක්‍රිප්ට් (asp/jsp/php) පූරණය කර OS විධාන ක්‍රියාත්මක කළ හැකි බව පෙනේ, pentesters හි පාරිභාෂිතය - “load shell”. නමුත් එවැනි දුර්වලතා වල ජනප්‍රියතාවය දෙපැත්තටම ක්‍රියා කරයි: ඒවා මතක තබා ගන්නා අතර ඒවාට එරෙහිව පිළියම් සකස් කරනු ලැබේ, එබැවින් මෑතකදී “ෂෙල් එකක් පැටවීමේ” සම්භාවිතාව ශුන්‍යයට නැඹුරු වේ.

ප්රහාරක කණ්ඩායම (ඩිජිටල් ආරක්ෂාව විසින් නියෝජනය කරන ලද) වාසනාවන්ත විය. හරි, සේවාදායක පැත්තේ MCS හි බාගත කළ ගොනු වල අන්තර්ගතය පරීක්ෂා කරන ලදී, පින්තූර පමණක් අවසර දී ඇත. නමුත් SVG ද පින්තූරයකි. SVG රූප අනතුරුදායක වන්නේ කෙසේද? ඔබට ජාවාස්ක්‍රිප්ට් කොටස් ඒවාට ඇතුළත් කළ හැකි නිසා!

බාගත කළ ගොනු MCS සේවාවේ සියලුම පරිශීලකයින්ට ලබා ගත හැකි බව පෙනී ගියේය, එයින් අදහස් කරන්නේ වෙනත් වලාකුළු පරිශීලකයින්ට, එනම් පරිපාලකයින්ට පහර දිය හැකි බවයි.

MCS වලාකුළු වේදිකාවේ ආරක්ෂක විගණනය
තතුබෑම් පිවිසුම් පෝරමයකට XSS ප්‍රහාරයක උදාහරණයක්

XSS ප්‍රහාර සූරාකෑමේ උදාහරණ:

  • පූරණය කරන ලද ස්ක්‍රිප්ටයට වහාම සම්පත් API වෙත ප්‍රවේශ විය හැකි නම්, සැසියක් සොරකම් කිරීමට උත්සාහ කරන්නේ ඇයි (විශේෂයෙන් HTTP-පමණක් කුකීස් සෑම තැනකම, js ස්ක්‍රිප්ට් භාවිතයෙන් සොරකම් වලින් ආරක්ෂා කර ඇත). මෙම අවස්ථාවෙහිදී, සේවාදායක වින්‍යාසය වෙනස් කිරීම සඳහා ගෙවීමට XHR ඉල්ලීම් භාවිතා කළ හැක, උදාහරණයක් ලෙස, ප්‍රහාරකයාගේ පොදු SSH යතුර එකතු කර සේවාදායකයට SSH ප්‍රවේශය ලබා ගන්න.
  • CSP ප්‍රතිපත්තිය (අන්තර්ගත ආරක්ෂණ ප්‍රතිපත්තිය) ජාවාස්ක්‍රිප්ට් එන්නත් කිරීම තහනම් කරන්නේ නම්, ප්‍රහාරකයෙකුට එය නොමැතිව ලබා ගත හැක. පිරිසිදු HTML භාවිතා කරමින්, වෙබ් අඩවිය සඳහා ව්‍යාජ පිවිසුම් පෝරමයක් සාදා, මෙම උසස් තතුබෑම් හරහා පරිපාලකගේ මුරපදය සොරකම් කරන්න: පරිශීලකයා සඳහා වන තතුබෑම් පිටුව එකම URL එකකින් අවසන් වන අතර, පරිශීලකයාට එය හඳුනා ගැනීම වඩාත් අපහසු වේ.
  • අවසාන වශයෙන්, ප්රහාරකයාට සංවිධානය කළ හැකිය සේවාදායක DoS - 4 KB ට වඩා විශාල කුකීස් සකසන්න. පරිශීලකයාට සබැඳිය විවෘත කිරීමට අවශ්‍ය වන්නේ එක් වරක් පමණක් වන අතර, පරිශීලකයා විශේෂයෙන් බ්‍රවුසරය පිරිසිදු කිරීමට සිතන තෙක් සම්පූර්ණ වෙබ් අඩවියට ප්‍රවේශ විය නොහැක: අතිමහත් බහුතරයක අවස්ථා වලදී, වෙබ් සේවාදායකය එවැනි සේවාදායකයෙකු පිළිගැනීම ප්‍රතික්ෂේප කරයි.

අපි තවත් අනාවරණය කරගත් XSS උදාහරණයක් බලමු, මෙවර වඩාත් දක්ෂ සූරාකෑමක් සමඟ. MCS සේවාව ඔබට ෆයර්වෝල් සැකසුම් කණ්ඩායම් වලට ඒකාබද්ධ කිරීමට ඉඩ සලසයි. කණ්ඩායම් නාමය වූයේ XSS අනාවරණය කරගත් ස්ථානයයි. එහි විශේෂත්වය වූයේ දෛශිකය ක්ෂණිකව ක්‍රියා විරහිත නොවීමයි, නීති ලැයිස්තුව බැලීමේදී නොව, කණ්ඩායමක් මකා දැමීමේදී:

MCS වලාකුළු වේදිකාවේ ආරක්ෂක විගණනය

එනම්, දර්ශනය පහත පරිදි විය: ප්‍රහාරකයෙකු නමේ “පූරණය” සහිත ෆයර්වෝල් රීතියක් නිර්මාණය කරයි, පරිපාලකයා එය ටික වේලාවකට පසුව දැක මකාදැමීමේ ක්‍රියාවලිය ආරම්භ කරයි. අනිෂ්ට JS ක්‍රියා කරන්නේ මෙතැනදීය.

උඩුගත කරන ලද SVG රූපවල XSS වලින් ආරක්ෂා වීමට MCS සංවර්ධකයින් සඳහා (ඒවා මඟ හැරිය නොහැකි නම්), ඩිජිටල් ආරක්ෂක කණ්ඩායම නිර්දේශ කළේ:

  • පරිශීලකයන් විසින් උඩුගත කරන ලද ගොනු "කුකී" වසම සමඟ කිසිදු සම්බන්ධයක් නැති වෙනම වසමක තබන්න. ස්ක්‍රිප්ට් වෙනස් වසමක සන්දර්භය තුළ ක්‍රියාත්මක වන අතර MCS වෙත තර්ජනයක් නොවනු ඇත.
  • සේවාදායකයේ HTTP ප්‍රතිචාරයේ, "අන්තර්ගතය-ඉවතලීම: ඇමුණුම" ශීර්ෂය යවන්න. එවිට ගොනු බ්‍රවුසරයෙන් බාගත කර ක්‍රියාත්මක නොවේ.

මීට අමතරව, XSS සූරාකෑමේ අවදානම අවම කිරීම සඳහා සංවර්ධකයින්ට දැන් බොහෝ ක්‍රම තිබේ:

  • "HTTP පමණයි" ධජය භාවිතයෙන්, ඔබට "කුකීස්" සැසිය අනිෂ්ට JavaScript වෙත ප්‍රවේශ විය නොහැක;
  • නිවැරදිව ක්‍රියාත්මක CSP ප්‍රතිපත්තිය ප්‍රහාරකයෙකුට XSS ගසාකෑම වඩාත් අපහසු වනු ඇත;
  • කෝණික හෝ ප්‍රතික්‍රියා වැනි නවීන අච්චු එන්ජින් පරිශීලක දත්ත පරිශීලකයාගේ බ්‍රවුසරයට ප්‍රතිදානය කිරීමට පෙර ස්වයංක්‍රීයව සනීපාරක්ෂක කරයි.

ද්වි-සාධක සත්‍යාපන දුර්වලතා

ගිණුමේ ආරක්ෂාව වැඩි දියුණු කිරීම සඳහා, පරිශීලකයින්ට 2FA (ද්වි-සාධක සත්‍යාපනය) සක්‍රීය කිරීමට සැමවිටම උපදෙස් දෙනු ලැබේ. ඇත්ත වශයෙන්ම, පරිශීලකයාගේ අක්තපත්‍ර අවදානමට ලක්ව ඇත්නම්, ප්‍රහාරකයෙකුට සේවාවක් වෙත ප්‍රවේශ වීම වැළැක්වීමට මෙය ඵලදායී ක්‍රමයකි.

නමුත් දෙවන සත්‍යාපන සාධකය භාවිතා කිරීම සැමවිටම ගිණුමේ ආරක්ෂාව සහතික කරයිද? 2FA ක්‍රියාත්මක කිරීමේදී පහත සඳහන් ආරක්ෂක ගැටළු තිබේ:

  • OTP කේතයේ බෲට්-ෆෝස් සෙවීම (එක්-වරක් කේත). මෙහෙයුමේ සරල බව තිබියදීත්, OTP තිරිසන් බලයට එරෙහිව ආරක්ෂාව නොමැතිකම වැනි දෝෂ විශාල සමාගම් විසින් ද හමු වේ: ස්ලැක් නඩුව, ෆේස්බුක් නඩුව.
  • දුර්වල උත්පාදන ඇල්ගොරිතම, උදාහරණයක් ලෙස ඊළඟ කේතය පුරෝකථනය කිරීමේ හැකියාව.
  • ඔබගේ දුරකථනයේ වෙනත් කෙනෙකුගේ OTP ඉල්ලීමේ හැකියාව වැනි තාර්කික දෝෂ, මෙවැනි විය Shopify වෙතින්.

MCS සම්බන්ධයෙන්, 2FA Google Authenticator මත පදනම්ව ක්‍රියාත්මක වේ Duo. ප්රොටෝකෝලය දැනටමත් කාලය පරීක්ෂා කර ඇත, නමුත් යෙදුම් පැත්තේ කේත සත්යාපනය ක්රියාත්මක කිරීම පරීක්ෂා කිරීම වටී.

MCS 2FA ස්ථාන කිහිපයක භාවිතා වේ:

  • පරිශීලකයා සත්‍යාපනය කරන විට. තිරිසන් බලයෙන් ආරක්ෂාවක් ඇත: පරිශීලකයාට එක් වරක් මුරපදයක් ඇතුළත් කිරීමට උත්සාහයන් කිහිපයක් පමණක් ඇත, පසුව ආදානය ටික වේලාවක් අවහිර කරනු ලැබේ. මෙය OTP හි තිරිසන් බලය තෝරා ගැනීමේ හැකියාව අවහිර කරයි.
  • 2FA ඉටු කිරීම සඳහා නොබැඳි උපස්ථ කේත උත්පාදනය කරන විට, මෙන්ම එය අක්‍රිය කරයි. මෙහිදී, කිසිදු තිරිසන් ආරක්ෂාවක් ක්‍රියාත්මක නොකළ අතර, එමඟින් ඔබට ගිණුම සඳහා මුරපදයක් සහ ක්‍රියාකාරී සැසියක් තිබේ නම්, උපස්ථ කේත නැවත උත්පාදනය කිරීමට හෝ 2FA සම්පූර්ණයෙන්ම අක්‍රිය කිරීමට හැකි විය.

උපස්ථ කේත OTP යෙදුම මඟින් ජනනය කරන ලද තන්තු අගයන් පරාසයක පිහිටා ඇති බව සලකන විට, කෙටි කාලයක් තුළ කේතය සොයා ගැනීමේ අවස්ථාව බෙහෙවින් වැඩි විය.

MCS වලාකුළු වේදිකාවේ ආරක්ෂක විගණනය
"Burp: Intruder" මෙවලම භාවිතයෙන් 2FA අක්‍රිය කිරීමට OTP තේරීමේ ක්‍රියාවලිය

ප්රතිඵලය

සමස්තයක් වශයෙන්, MCS නිෂ්පාදනයක් ලෙස ආරක්ෂිත බව පෙනේ. විගණනය අතරතුර, pentesting කණ්ඩායමට සේවාදායක VM සහ ඒවායේ දත්ත වෙත ප්‍රවේශය ලබා ගැනීමට නොහැකි වූ අතර, MCS කණ්ඩායම විසින් සොයාගත් දුර්වලතා ඉක්මනින් නිවැරදි කරන ලදී.

නමුත් මෙහි ආරක්ෂාව අඛණ්ඩ කාර්යයක් බව සැලකිල්ලට ගැනීම වැදගත්ය. සේවාවන් ස්ථිතික නොවේ, ඒවා නිරන්තරයෙන් විකාශනය වේ. තවද දුර්වලතා නොමැතිව නිෂ්පාදනයක් සම්පූර්ණයෙන්ම සංවර්ධනය කළ නොහැක. නමුත් ඔබට ඒවා නියමිත වේලාවට සොයා ගත හැකි අතර ඒවා නැවත ඇතිවීමේ අවස්ථාව අවම කර ගත හැකිය.

දැන් MCS හි සඳහන් සියලුම දුර්වලතා දැනටමත් නිවැරදි කර ඇත. නව ඒවා සංඛ්‍යාව අවම මට්ටමක තබා ගැනීමට සහ ඔවුන්ගේ ආයු කාලය අඩු කිරීමට, වේදිකා කණ්ඩායම මෙය දිගටම කරගෙන යයි:

  • බාහිර සමාගම් විසින් නිතිපතා විගණන පැවැත්වීම;
  • සහාය සහ සහභාගීත්වය වර්ධනය කිරීම Mail.ru Group Bug Bounty වැඩසටහනේ;
  • ආරක්ෂාවේ යෙදෙනවා. 🙂

මූලාශ්රය: www.habr.com

අදහස් එක් කරන්න