saunia e SeerLight
Fausia so'o se auaunaga e tatau ona aofia ai galuega faifaipea i le saogalemu. Saogalemu ose faiga faifaipea e aofia ai suʻesuʻega faifaipea ma le faʻaleleia atili o le saogalemu o oloa, mataʻituina tala fou e uiga i faʻafitauli ma sili atu. E aofia ai suetusi. O su'etusi e faia i totonu o le fale ma fafo atu, e mafai ona fesoasoani malosi i le saogalemu aua latou te le o fa'atofuina i le poloketi ma maua se mafaufau matala.
O le tusiga e uiga i lenei vaaiga sili ona tuusaʻo o tagata tomai faapitoa i fafo na fesoasoani i le Mail.ru Cloud Solutions (MCS) team e suʻe le auaunaga ao, ma e uiga i mea na latou mauaina. I le avea ai o se "malosi mai fafo," na filifilia ai e le MCS le kamupani Digital Security, ua lauiloa ona o lona tomai maualuga i liʻo saogalemu o faʻamatalaga. Ma i totonu o lenei tusiga o le a matou iloiloina nisi o faʻafitauli mataʻutia o loʻo maua o se vaega o se suʻega fafo - ina ia e aloese mai le rake tutusa pe a e fatuina lau oe lava auaunaga ao.
Faamatalaga o oloa
o se faʻavae mo le fausiaina o atinaʻe faʻapitoa i le ao. E aofia ai IaaS, PaaS, ma se maketi o ata tusi talosaga mo tagata atiaʻe. I le amanaia o le fausaga a le MCS, sa tatau ai ona siaki le saogalemu o le oloa i vaega nei:
- puipuia o atina'e o le siosiomaga virtualization: hypervisors, routing, firewalls;
- puipuiga o atinaʻe faʻapitoa a tagata faʻatau: vavae ese mai le tasi i le isi, e aofia ai fesoʻotaʻiga, fesoʻotaʻiga tumaoti i SDN;
- OpenStack ma ona vaega tatala;
- S3 o la tatou lava mamanu;
- IAM: galuega fa'atino e tele tagata mautotogi ma se fa'ata'ita'iga;
- Va'aiga (va'aiga komepiuta): API ma fa'aletonu pe a galue i ata;
- 'upega tafaʻilagi ma osofaʻiga masani i luga ole laiga;
- fa'aletonu o vaega PaaS;
- API o vaega uma.
Masalo na o le pau lena o mea e taua mo le faʻasologa o tala faʻasolopito.
O le a le ituaiga galuega na faia ma aisea na manaʻomia ai?
O le su'etusi mo le puipuiga e fa'atatau i le fa'ailoaina o fa'aletonu ma fa'aletonu o le fa'atulagaina e ono ta'ita'i atu ai i fa'amaumauga a le tagata lava ia, suiga o fa'amatalaga ma'ale'ale, po'o le fa'alavelaveina o avanoa o auaunaga.
I le taimi o le galuega, lea e tumau i le averesi 1-2 masina, suetusi toe faia gaioiga a tagata osofaʻi ma vaʻavaʻai mo faʻafitauli i le kalani ma vaega o le auʻaunaga o le tautua filifilia. I le tulaga o le suʻega o le MCS cloud platform, o sini nei na faʻaalia:
- Iloiloga o le faʻamaoni i totonu o le tautua. O fa'aletonu i lenei vaega o le a fesoasoani e vave alu i totonu o tala a isi tagata.
- Su'esu'eina le fa'ata'ita'iga ma le fa'atonutonu avanoa i le va o tala eseese. Mo se tagata osofaʻi, o le mafai ona maua le avanoa i se isi masini komepiuta o se sini manaʻomia.
- Fa'aletonu itu a tagata fa'atau. XSS/CSRF/CRLF/etc. E mafai ona osofaʻia isi tagata faʻaoga e ala i fesoʻotaʻiga leaga?
- Fa'aletonu itu o le server: RCE ma ituaiga uma o tui (SQL/XXE/SSRF ma isi). O fa'aletonu o le 'au'aunaga e masani lava ona sili atu ona faigata ona maua, ae latou te ta'ita'ia ai le fa'aogaina o le tele o tagata fa'aoga i le taimi e tasi.
- Iloiloga o le fa'aesea o tagata fa'aoga ile tulaga o feso'otaiga. Mo se tagata osofaʻi, o le leai o se faʻaesea e matua faateleina ai le osofaʻiga i luga o isi tagata faʻaoga.
- Su'esu'ega fa'atatau tau pisinisi. E mafai ona faʻasese pisinisi ma fatuina masini faʻapitoa e leai se totogi?
I lenei poloketi, na faʻatinoina galuega e tusa ai ma le faʻataʻitaʻiga o le "Gray-box": suʻetusi na fegalegaleai ma le tautua ma avanoa o tagata faʻaoga masani, ae o se vaega o loʻo i ai le code source o le API ma maua le avanoa e faʻamalamalama ai faʻamatalaga ma le au atinaʻe. E masani lava e sili ona faigofie, ma i le taimi lava e tasi le faʻataʻitaʻiga moni o le galuega: faʻamatalaga i totonu e mafai lava ona aoina e se osofaʻiga, e naʻo se taimi.
Fa'aletonu ua maua
Aʻo leʻi amata e le suʻetusi ona tuʻuina atu uta eseese (o le uta na faʻaaogaina e faia ai le osofaʻiga) i nofoaga faʻafuaseʻi, e tatau ona malamalama pe faʻapefea ona galue mea ma pe o le a le faʻatinoga e tuʻuina atu. Atonu e foliga mai o se faʻamalositino le aoga, aua i le tele o nofoaga suʻesuʻe o le a leai ni faʻafitauli. Ae naʻo le malamalama i le fausaga o le talosaga ma le faʻaogaina o lona faʻagaioiga o le a mafai ai ona maua ni osofaʻiga sili ona faigata.
E taua le su'eina o nofoaga e foliga masalosalo pe matua ese lava mai isi i nisi itu. Ma o le tulaga lamatia muamua na maua i lenei auala.
IDOR
IDOR (Insecure Direct Object Reference) faʻafitauli o se tasi o faʻafitauli sili ona taatele i pisinisi faʻapisinisi, lea e mafai ai e le tasi poʻo le isi ona maua avanoa i mea e le faʻatagaina moni. O fa'aletonu IDOR e maua ai le avanoa e maua mai ai fa'amatalaga e uiga i se tagata fa'aoga i tulaga eseese o le taua.
O se tasi o filifiliga IDOR o le faia lea o gaioiga ma mea faʻaoga (tagata faʻaoga, faletupe, mea i totonu o le faʻatau faʻatau) e ala i le faʻaogaina o faʻamatalaga avanoa i nei mea. O lenei mea e oʻo atu ai i taunuuga sili ona le mafaamatalaina. Mo se faʻataʻitaʻiga, o le avanoa e sui ai le tala a le tagata na auina atu tupe, lea e mafai ai ona e gaoia mai isi tagata faʻaoga.
I le tulaga o le MCS, na faatoa maua e le au suetusi se tulaga vaivai IDOR e fesoʻotaʻi ma faʻamatalaga e le saogalemu. I totonu o le faʻamatalaga patino a le tagata faʻaoga, na faʻaaogaina e le UUID faʻamatalaga e maua ai soʻo se mea, e foliga mai, e pei ona fai mai tagata tomai faapitoa i le saogalemu, e matua le saogalemu (o lona uiga, puipuia mai osofaʻiga malosi). Ae mo nisi faʻalapotopotoga, na maua ai o numera masani masani e faʻaaogaina e maua ai faʻamatalaga e uiga i tagata faʻaoga o le talosaga. Ou te manatu e mafai ona e mateina e mafai ona suia le ID faʻaoga i le tasi, toe lafo le talosaga ma maua ai faʻamatalaga e ala i le ACL (lisi faʻatonutonu avanoa, tulafono faʻamatalaga mo faʻagasologa ma tagata faʻaoga).
Talosaga Fa'atauga a le Itu Tulaga (SSRF)
O le mea lelei e uiga i OpenSource oloa o loʻo i ai a latou numera tele o faʻasalalauga ma faʻamatalaga faʻapitoa faʻapitoa o faʻafitauli e tulaʻi mai ma, afai e te laki, o se faʻamatalaga o le fofo. Ae o lenei tupe siliva ei ai le pito i tua: o faʻafitauli faʻapitoa o loʻo faʻamatalaina auiliili. Mo se faʻataʻitaʻiga, o loʻo i ai faʻamatalaga matagofie o faʻafitauli i luga o le OpenStack forum и , lea mo nisi mafuaaga e leai se tasi e faanatinati e faaleleia.
O se galuega masani o talosaga o le mafai lea e le tagata fa'aoga ona tu'uina atu se so'otaga i le 'au'aunaga, lea e kiliki e le 'au'aunaga (mo se fa'ata'ita'iga, e siiina mai se ata mai se puna fa'apitoa). Afai e le fa'amama e meafaigaluega mo le puipuiga ia so'otaga i latou lava po'o tali na toe fa'afo'i mai le server i tagata fa'aoga, o ia galuega e faigofie ona fa'aogaina e tagata osofa'i.
SSRF vaivai e mafai ona faʻalauteleina le atinaʻeina o se osofaʻiga. E mafai e se tagata osofaʻi ona maua:
- fa'atapula'aina le avanoa i feso'ota'iga fa'apitonu'u ua osofa'ia, mo se fa'ata'ita'iga, na'o ni vaega o feso'ota'iga ma fa'aogaina se fa'atonuga;
- avanoa atoatoa i fesoʻotaʻiga faʻapitonuʻu, pe a fai e mafai ona faʻaitiitia mai le tulaga talosaga i le tulaga o felauaiga ma, o se taunuuga, o le puleaina o uta atoa i le tulaga o talosaga;
- avanoa e faitau faila i le lotoifale i luga o le 'auʻaunaga (pe a lagolagoina le faila: /// polokalame);
- ma sili atu.
O se SSRF vaivai ua leva ona iloa i OpenStack, lea e "tauaso" i le natura: pe a e faʻafesoʻotaʻi le 'auʻaunaga, e te le maua se tali mai ai, ae e te mauaina ituaiga eseese o mea sese / tuai, faʻatatau i le taunuuga o le talosaga. . Faʻavae i luga o lenei mea, e mafai ona e faia se faʻataʻitaʻiga o le taulaga i luga o 'au i luga o fesoʻotaiga i totonu, faʻatasi ai ma taunuuga uma e mulimuli mai e le tatau ona manatu faatauvaa. Mo se faʻataʻitaʻiga, o se oloa e mafai ona i ai se API i tua o le ofisa e naʻo le faʻaogaina o fesoʻotaʻiga. Faatasi ai ma faʻamaumauga (aua neʻi galo e uiga i totonu), e mafai e se tagata osofaʻi ona faʻaaoga le SSRF e faʻaoga ai auala i totonu. Mo se faʻataʻitaʻiga, afai e mafai ona e mauaina se lisi faʻatatau o URL aoga, ona faʻaaogaina lea o le SSRF e mafai ona e faʻaogaina ma faʻatino se talosaga - faʻapitoa, faʻafeiloaʻi tupe mai le teugatupe i le teugatupe pe suia tapulaa.
E le o le taimi muamua lea ua maua ai se tulaga vaivai SSRF i OpenStack. I le taimi ua tuanaʻi, na mafai ona sii mai ata VM ISO mai se fesoʻotaʻiga tuusaʻo, lea na taʻitaʻia ai foi iʻuga tutusa. O lenei vaega ua aveese nei mai OpenStack. E foliga mai, ua manatu le nuu o le fofo sili lea ona faigofie ma faatuatuaina i le faafitauli.
Ma i totonu lipoti avanoa lautele mai le HackerOne auaunaga (h1), le faʻaaogaina o se SSRF le toe tauaso ma le mafai ona faitau faʻataʻitaʻiga metadata e taʻitaʻia ai le avanoa i Root i le faleoloa Shopify atoa.
I le MCS, SSRF faʻaletonu na maua i nofoaga e lua e tutusa galuega, ae na toetoe a le mafai ona faʻaaogaina ona o pa puipui ma isi puipuiga. I se tasi auala po o se isi, na foia e le au MCS lenei faafitauli, e aunoa ma le faatali mo le nuu.
XSS nai lo le utaina o atigi
E ui lava i le fiaselau o suʻesuʻega na tusia, o lea tausaga ma lea tausaga XSS (cross-site scripting) osofaʻiga o loʻo sili lava fa'aletonu i luga ole laiga (po'o ?)
O le lafoina o faila o se nofoaga e fiafia i ai mo soʻo se tagata suʻesuʻe saogalemu. E masani ona faʻaalia e mafai ona e utaina se faʻamatalaga faʻamaonia (asp/jsp/php) ma faʻatino tulafono OS, i le faaupuga a pentesters - "load shell". Ae o le taʻutaʻua o ia faʻafitauli e galue i itu uma e lua: e manatuaina ma faʻaleleia togafitiga e faasaga ia i latou, ma talu ai nei o le avanoa o le "faʻapipiʻiina o se atigi" e foliga mai e leai.
O le au osofaʻi (faʻatusalia e Digital Security) na laki. Ua lelei, i le MCS i luga o le itu o le server na siaki ai mea o loʻo i totonu o faila na sii mai, naʻo ata na faʻatagaina. Ae o le SVG o se ata foi. E fa'afefea ona mata'utia ata SVG? Aua e mafai ona e fa'apipi'i snippet JavaScript i totonu!
Na aliali mai o faila na sii mai e avanoa mo tagata uma o loʻo faʻaogaina le MCS, o lona uiga e mafai ona osofaʻia isi tagata faʻaoga ao, e taʻua o pule.
O se faʻataʻitaʻiga o se osofaʻiga a le XSS i se faʻailoga faʻapipiʻi phishing
Fa'ata'ita'iga o osofa'iga a le XSS:
- Aisea e taumafai ai e gaoi se sauniga (aemaise lava talu mai le taimi nei HTTP-Naʻo kuki o loʻo i ai i soʻo se mea, puipuia mai le gaoi e faʻaaoga ai le js scripts), pe afai o le faʻapipiʻiina o tusitusiga e mafai ona maua vave le API punaoa? I lenei tulaga, e mafai e le totogi ona faʻaogaina talosaga a le XHR e sui ai le faʻatulagaina o le server, mo se faʻataʻitaʻiga, faʻaopoopo le SSH lautele o le tagata osofaʻi ma maua le SSH avanoa i le server.
- Afai o le CSP policy (content protection policy) e faʻasa ai le JavaScript mai le tui, e mafai e le tagata osofaʻi ona sao e aunoa ma lena. I le faʻaaogaina o le HTML mama, fatuina se pepa faʻaoga sese mo le saite ma gaoi le faʻaupuga a le pule e ala i lenei phishing maualuga: o le itulau phishing mo le tagata faʻaoga e muta i le URL lava e tasi, ma e sili atu ona faigata mo le tagata faʻaoga ona iloa.
- Mulimuli ane, e mafai e le tagata osofaʻi ona faʻatulaga — seti Kuki lapo'a nai lo le 4 KB. E na o le tasi lava le taimi e manaʻomia ai e le tagata faʻaoga le tatalaina o le soʻotaga, ma o le saite atoa e le mafai ona maua seʻia oʻo ina manatu le tagata faʻaoga e faʻamama faapitoa le masini: i le tele o mataupu, o le a teena e le upega tafaʻilagi le taliaina o sea tagata faʻatau.
Sei o tatou tilotilo i se faʻataʻitaʻiga o se isi XSS ua iloa, o le taimi lenei ma se faʻaoga sili atu ona atamai. Ole 'au'aunaga a le MCS e fa'atagaina oe e tu'ufa'atasia fa'amaufa'ailoga afi i vaega. O le igoa o le vaega na maua ai le XSS. O lona uiga ese o le vector e leʻi faʻaosoina vave, e le o le matamata i le lisi o tulafono, ae pe a tapeina se vaega:
O lona uiga, o le faʻataʻitaʻiga na faʻaalia e pei o mea nei: o se tagata osofaʻi e faia se tulafono o le pa puipui ma le "uta" i le igoa, e matauina e le pule pe a maeʻa sina taimi ma amataina le faagasologa o le tapeina. Ma o le mea lea e galue ai le JS leaga.
Mo MCS atia'e, ina ia puipuia mai le XSS i ata SVG na la'u mai (pe a le mafai ona tu'ulafoa'iina), na fautuaina e le 'au Saogalemu Fa'atekinolosi:
- Tu'u faila na fa'auluina e tagata fa'aoga i se isi vaega e leai se mea e fai ma "kuki". O le tusitusiga o le a fa'atinoina i le tulaga o se isi vaega ma e le fa'amata'u i le MCS.
- I le tali HTTP a le server, lafo le ulutala “Content-disposition: attachment”. Ona sii mai lea o faila e le browser ma e le faia.
E le gata i lea, o loʻo i ai nei le tele o auala e avanoa mo tagata atiaʻe e faʻaitiitia ai aʻafiaga o le faʻaogaina o le XSS:
- fa'aaoga le fu'a "HTTP Na'o", e mafai ona e fa'aogaina ulutala "Kuki" e le mafai ona maua e JavaScript leaga;
- o le a sili atu ona faigata mo se tagata osofaʻi ona faʻaaogaina le XSS;
- masini fa'aonaponei fa'aonaponei e pei ole Angular po'o React e otometi lava ona fa'amama fa'amaumauga a tagata a'o le'i tu'uina atu ile su'esu'ega a le tagata.
Fa'ailoga fa'amaoni e lua
Ina ia faʻaleleia le saogalemu o faʻamatalaga, e masani ona fautuaina tagata faʻaoga e faʻatagaina le 2FA (faʻamaoniga e lua). O le mea moni, o se auala aoga lea e puipuia ai le osofaʻi mai le mauaina o le avanoa i se auaunaga pe a fai ua faʻafefeteina faʻamatalaga a le tagata faʻaoga.
Ae o le fa'aogaina o se fa'amaoniga lona lua e fa'amaonia ai le saogalemu o teugatupe? O loʻo i ai faʻafitauli tau puipuiga i le faʻatinoga o le 2FA:
- Su'esu'e fa'amalosi ole OTP code (taimi e tasi). E ui i le faigofie o le gaioiga, o mea sese e pei o le leai o se puipuiga mai le malosi malosi o le OTP o loʻo feagai foi ma kamupani tetele: , .
- Algoritma tupulaga vaivai, mo se faʻataʻitaʻiga le mafai ona vaʻai le isi code.
- O mea sese, e pei o le mafai ona talosagaina se isi tagata OTP i lau telefoni, pei o lenei mai Shopify.
I le tulaga o le MCS, 2FA o loʻo faʻatinoina e faʻavae ile Google Authenticator ma . O le protocol lava ia ua uma ona faʻataʻitaʻiina taimi, ae o le faʻatinoina o le faʻamaoniga code i luga o le itu talosaga e aoga le siakiina.
MCS 2FA o loʻo faʻaaogaina i le tele o nofoaga:
- Pe a faʻamaonia le tagata faʻaoga. O loʻo i ai le puipuiga mai le malosi faʻamalosi: o le tagata faʻaoga e naʻo ni nai taumafaiga e ulufale i se upu faʻamaonia e tasi le taimi, ona poloka lea o le faʻaoga mo sina taimi. O le mea lea e poloka ai le avanoa e filifili ai le OTP.
- Pe a fa'atupuina fa'amaumauga tu'ufa'atasi e fa'atino ai le 2FA, fa'apea fo'i ma le fa'agata. Iinei, e leai se puipuiga malosi na faʻatinoina, lea na mafai ai, pe a iai sau faʻaupuga mo le teugatupe ma se sauniga faʻamalosi, e toe faʻafouina tulafono faʻasao pe faʻamalo atoa le 2FA.
Mafaufau o le faʻamaumauga faʻamaumauga sa i ai i le tulaga tutusa o manoa taua e pei ona faia e le OTP talosaga, o le avanoa e maua ai le code i se taimi puupuu na sili atu le maualuga.
Le faʻagasologa o le filifilia o se OTP e faʻamalo ai le 2FA e faʻaaoga ai le meafaigaluega "Burp: Intruder".
iʻuga
I le aotelega, e foliga mai e saogalemu le MCS o se oloa. I le taimi o le su'ega, sa le mafai e le au su'esu'e ona maua le avanoa i VM o tagata o tausia ma a latou fa'amaumauga, ma o fa'aletonu na maua na vave fa'asa'o e le au MCS.
Ae o iinei e taua le matauina o le saogalemu o se galuega faifaipea. 'Au'aunaga e le tumau, o lo'o fa'asolosolo pea. Ma e le mafai ona atiaʻe atoatoa se oloa e aunoa ma ni faʻafitauli. Ae e mafai ona e mauaina i latou i le taimi ma faʻaitiitia le avanoa e toe foʻi mai ai.
Ole taimi nei ua uma ona faʻaleleia uma faʻafitauli o loʻo taʻua i le MCS. Ma ina ia faʻaitiitia le numera o tagata fou ma faʻaitiitia lo latou olaga, o loʻo faʻaauau pea ona faia e le au faʻavae lenei mea:
- faia pea su'etusi a kamupani mai fafo;
- lagolago ma atiina ae le auai;
- auai i le saogalemu. 🙂
puna: www.habr.com