Hantidhawrka amniga ee madal daruureedka MCS

SkyShip Dusk by SeerLight

Dhisida adeeg kasta waxa ku jira shaqada joogtada ah ee amniga. Amnigu waa nidaam joogto ah oo ay ku jiraan falanqayn joogto ah iyo hagaajinta amniga alaabta, la socodka wararka ku saabsan dayacanka iyo wax ka badan. Oo ay ku jiraan hantidhawrka Hanti-dhawrka waxa lagu sameeyaa gudaha iyo khubaro dibadda ah, kuwaas oo si weyn gacan uga geysan kara amniga, sababtoo ah kuma jiraan mashruuca oo maskax furan.

Maqaalku wuxuu ku saabsan yahay aragtidan tooska ah ee khubarada dibadda ah ee ka caawiyay kooxda Mail.ru Cloud Solutions (MCS) inay tijaabiyaan adeegga daruuraha, iyo waxa ay heleen. Sida "xoog dibadeed," MCS waxay dooratay shirkadda Amniga Dijital ah, oo caan ku ah khibraddeeda sare ee wareegyada amniga macluumaadka. Maqaalkani waxa aanu ku falanqeyn doonaa qaar ka mid ah dayacanka xiisaha leh ee laga helay qayb ka mid ah hanti-dhawrka dibadda - si aad uga fogaato isla qaadka marka aad abuurto adeeggaaga daruuriga ah.

Описание продукта

Mail.ru Cloud Solutions (MCS) waa madal lagu dhisayo kaabayaasha daruuriga ah ee daruuraha. Waxaa ku jira IaaS, PaaS, iyo goob suuq ah oo sawirro codsi ah oo diyaarsan oo loogu talagalay horumariyeyaasha. Iyadoo la tixgelinayo qaab dhismeedka MCS, waxaa lagama maarmaan noqotay in la hubiyo badbaadada alaabta meelaha soo socda:

• ilaalinta kaabayaasha deegaanka ee virtualization: hypervisors, routing, firewalls;
• ilaalinta kaabayaasha farsamada ee macaamiisha: go'doominta midba midka kale, oo ay ku jiraan shabakadaha, shabakadaha gaarka ah ee SDN;
• OpenStack iyo qaybihiisa furan;
• S3 ee naqshadeena;
• IAM: Mashaariic kiraysteyaal badan leh oo ku dayasho mudan;
• Aragtida (aragga kombuyuutarka): API-yada iyo dayacanka marka la shaqeynayo sawirada;
• isku xirka shabakada iyo weerarada shabakada caadiga ah;
• dayacanka qaybaha PaaS;
• API ee dhammaan qaybaha.

Waxaa laga yaabaa in taasi ay tahay waxa lagama maarmaanka u ah taariikhda dheeraadka ah.

Shaqo noocee ah ayaa la qabtay maxaase loogu baahnaa?

Hantidhawrka amniga waxaa looga golleeyahay in lagu ogaado dayacanka iyo khaladaadka qaabeynta ee horseedi kara daadinta xogta shakhsiyeed, wax ka beddelka macluumaadka xasaasiga ah, ama carqalad ku ah helitaanka adeegga.

Inta lagu jiro shaqada, oo socota celcelis ahaan 1-2 bilood, hanti-dhawrayaashu waxay ku celiyaan ficilada weeraryahannada suurtagalka ah waxayna raadiyaan nuglaanta macaamiisha iyo qaybaha server-ka ee adeegga la doortay. Marka la eego macnaha guud ee xisaab xidhka madal daruureedka MCS, hadafyada soo socda ayaa la aqoonsaday:

1. Falanqaynta xaqiijinta adeegga. Nuglaanta qaybtan ayaa kaa caawin doonta inaad isla markiiba gasho akoonnada dadka kale.
2. Barashada ku dayashada iyo xakamaynta gelitaanka xisaabaadka kala duwan. Qofka weerarka soo qaaday, awoodda uu ku galo mashiinka farsamada ee qof kale waa hadaf la jecel yahay.
3. Nuglaanta dhinaca macmiilka. XSS/CSRF/CRLF/iwm. Suurtagal ma tahay in lagu weeraro isticmaalayaasha kale iyada oo loo marayo xiriiriyeyaasha xaasidnimo?
4. Nuglaanta dhinaca serverka: RCE iyo dhammaan noocyada irbado (SQL/XXE/SSRF iyo wixii la mid ah). Nuglaanta adeegaha guud ahaan aad ayay u adag tahay in la helo, laakiin waxay horseedaan tanaasul isticmaalayaasha badan hal mar.
5. Falanqaynta go'doominta qaybta isticmaalaha ee heerka shabakada Qofka weerarka soo qaaday, go'doomin la'aanta waxay si weyn u kordhisaa dusha weerarka ee isticmaalayaasha kale.
6. Falanqaynta macquulka ah ee ganacsiga. Suurtagal ma tahay in la khiyaaneeyo ganacsiyada oo la abuuro mashiinno farsamo bilaash ah?

Mashruucan, shaqada waxaa loo fuliyay si waafaqsan qaabka "Gray-box": hanti-dhawrayaashu waxay la falgaleen adeegga iyaga oo leh mudnaanta isticmaalayaasha caadiga ah, laakiin qayb ahaan waxay leeyihiin koodhka isha API waxayna fursad u heleen inay faahfaahin ka bixiyaan horumarinta. Tani inta badan waa tan ugu habboon, isla mar ahaantaana qaab shaqo oo macquul ah: macluumaadka gudaha waxaa weli soo ururin kara weeraryahan, waa arrin waqti uun ah.

Nuglaanta la helay

Ka hor inta uusan hanti-dhowrku bilaabin u dirida culeysyo kala duwan (culayska loo isticmaalo weerarka) meelo aan kala sooc lahayn, waxaa lagama maarmaan ah in la fahmo sida ay arrimuhu u shaqeeyaan iyo waxa shaqeynta la bixiyo. Waxay u muuqan kartaa in tani ay tahay jimicsi aan faa'iido lahayn, sababtoo ah inta badan meelaha la bartay ma jiri doonto wax u nugul. Laakiin kaliya fahamka qaab dhismeedka codsiga iyo macquulnimada hawlgalkiisa ayaa suurtogal ka dhigaya in la helo weerarrada ugu adag.

Waa muhiim in la helo meelo u muuqda kuwo laga shakiyo ama si uun uga duwan kuwa kale. Iyo baylahdii ugu horreysay ee khatarta ah ayaa lagu helay habkan.

IDOOR

IDOOR (Tixraaca Shayga Tooska ah ee Aan Ammaan Lahayn) dayacanka waa mid ka mid ah dayacanka ugu caansan ee macquulka ganacsiga, kaas oo u oggolaanaya mid ama mid kale inuu galo walxaha aan dhab ahaantii la oggolayn. Nuglaanta IDOR waxay abuurtaa suurtogalnimada helitaanka macluumaadka ku saabsan isticmaale heerar kala duwan oo muhiim ah.

Mid ka mid ah xulashooyinka IDOR waa in lagu sameeyo ficilo leh walxaha nidaamka (isticmaalka, xisaabaadka bangiga, alaabta ku jirta gaariga wax iibsiga) iyadoo lagu maareynayo aqoonsiga gelitaanka walxahan. Tani waxay keenaysaa cawaaqibta aan la saadaalin karin. Tusaale ahaan, suurtogalnimada in la beddelo xisaabaadka soo diraha lacagaha, taas oo aad ka xadi karto isticmaalayaasha kale.

Xaaladda MCS, hanti-dhawrayaashu waxay hadda ogaadeen nuglaanta IDOR ee la xidhiidha aqoonsiyada aan sugnayn. Koontada gaarka ah ee isticmaalaha, aqoonsiga UUID ayaa loo isticmaalay in lagu galo shay kasta, kuwaas oo u muuqday, sida khubarada ammaanku ay yiraahdeen, ammaan darro la yaab leh (taas oo ah, laga ilaaliyo weerarrada xoogga ah). Laakiin hay'ado gaar ah, waxaa la ogaaday in tirooyinka joogtada ah ee la saadaalin karo loo isticmaalo si loo helo macluumaadka isticmaalayaasha arjiga. Waxaan u maleynayaa in aad qiyaasi karto in ay suurtagal tahay in la beddelo aqoonsiga isticmaalaha hal, soo dir codsiga mar kale oo sidaas darteed u hesho macluumaadka ka gudubta ACL (liiska xakamaynta gelitaanka, sharciyada helitaanka xogta ee hababka iyo isticmaalayaasha).

Foojari Codsiga Dhinac Server-ka (SSRF)

Waxyaabaha wanaagsan ee ku saabsan alaabta OpenSource waa inay haystaan ​​​​golo aad u tiro badan oo leh sharraxaad farsamo oo faahfaahsan oo ku saabsan dhibaatooyinka soo baxa iyo, haddii aad nasiib leedahay, sharaxaadda xalka. Laakiin qadaadiicdani waxay leedahay dhinac leexleexad leh: dayacanka la yaqaan ayaa sidoo kale si faahfaahsan loogu sharraxay. Tusaale ahaan, waxaa jira sharraxaadyo cajiib ah oo ku saabsan dayacanka madasha OpenStack [XSS] и [SSRF], taas oo sababa qaar aan qofna ku degdegin inuu hagaajiyo.

Shaqeynta guud ee codsiyada waa awooda uu isticmaaluhu u soo diri karo isku xirka server-ka, kaas oo adeeguhu uu gujinayo (tusaale ahaan, si uu sawir uga soo dejiyo ilo cayiman). Haddii aaladaha ammaanku aysan sifeynin isku-xirayaasha laftooda ama jawaabaha laga soo celiyay server-ka isticmaaleyaasha, shaqeynta noocaas ah waxaa si fudud u isticmaali kara weeraryahannada.

Nuglaanta SSRF waxay si weyn u horumarin kartaa horumarinta weerarka. Weeraryahanku wuxuu heli karaa:

• gelitaan xaddidan ee shabakada maxalliga ah ee la weeraray, tusaale ahaan, kaliya iyada oo loo marayo qaybaha shabakadaha qaarkood iyo isticmaalka borotokool gaar ah;
• helitaanka buuxda ee shabakada deegaanka, haddii hoos loo dhigo heerka codsiga ilaa heerka gaadiidka waa suurtogal, natiijada, maaraynta culeyska buuxa ee heerka codsiga;
• marin u helida akhrinta faylasha maxaliga ah ee serverka (haddii faylka:: /// nidaamka la taageeray);
• iyo wax ka badan.

Nuglaanta SSRF ayaa muddo dheer lagu yaqaanay OpenStack, taas oo ah "indho la'aan" dabeecad ahaan: markaad la xiriirto server-ka, kama heleysid jawaab, laakiin waxaad heleysaa noocyo kala duwan oo khaladaad / dib u dhac ah, iyadoo ku xiran natiijada codsiga . Iyada oo ku saleysan tan, waxaad samayn kartaa iskaanka dekedaha martida loo yahay ee shabakada gudaha, oo leh dhammaan cawaaqibta soo socota ee aan la dhayalsan karin. Tusaale ahaan, alaabtu waxay yeelan kartaa API-office-ka dambe kaas oo laga heli karo oo keliya shabakadda shirkadda. Dukumeenti (ha iloobin dadka gudaha ku jira), weeraryahanku wuxuu isticmaali karaa SSRF si uu u galo hababka gudaha. Tusaale ahaan, haddii aad si uun u awooday inaad hesho liis qiyaastii ah URL-yada waxtarka leh, ka dib adoo isticmaalaya SSRF waxaad mari kartaa iyaga oo fulin kartaa codsi - si aad ah u hadla, lacag uga xawila akoonto ama beddelo xadka.

Tani maaha markii ugu horeysay ee dayacanka SSRF laga helo OpenStack. Waagii hore, waxaa suurtagal ah in laga soo dejiyo sawirada VM ISO xiriir toos ah, taas oo sidoo kale keentay cawaaqib la mid ah. Sifadan hadda waa laga saaray OpenStack. Sida muuqata, bulshadu waxay u tixgelisay tan xalka ugu fudud uguna kalsoon ee dhibaatada.

Iyo in tan Warbixinta guud ee laga heli karo adeegga HackerOne (h1), ka faa'iidaysiga SSRF aan indho la'aan lahayn oo leh awoodda akhrinta tusaalaha metadata waxay horseeddaa gelitaanka xididka dhammaan kaabayaasha Shopify.

MCS gudaheeda, dayacanka SSRF ayaa laga helay laba meelood oo isku mid ah, laakiin waxay ahaayeen kuwo aan suurtagal ahayn in laga faa'iidaysto sababtoo ah darbiyada iyo ilaalinta kale. Si kastaba ha noqotee, kooxda MCS waxay xalliyeen dhibaatadan, iyagoon sugin bulshada.

XSS halkii laga rari lahaa qolofka

In kasta oo boqolaal daraasadood la qoray, sannadba sannadka ka dambeeya XSS (qorista goob-qorista) ayaa weli ah weerarka ugu badan inta badan la kulmo nuglaanta webka (ama weerar?)

Gelitaanka faylka ayaa ah meesha uu jecel yahay cilmi-baare kasta oo amniga ah. Inta badan waxay soo baxdaa inaad ku shuban karto qoraal aan sabab lahayn (asp/jsp/php) oo aad fulin karto amarada OS, ereybixinta pentesters - "load shell". Laakiin caan ka ah dayacanka noocan oo kale ah ayaa ka shaqeeya labada dhinacba: waa la xusuustaa oo dawooyin ayaa laga soo saaraa iyaga, sidaas darteed dhawaan suurtagalnimada "loading qolof" waxay u egtahay eber.

Kooxda weerarka (oo ay matalaan Amniga Dijital ah) ayaa nasiib leh. OK, gudaha MCS ee dhinaca server-ka waxa ku jira faylasha la soo dejiyay waa la hubiyay, kaliya sawirada ayaa la oggolaaday. Laakiin SVG sidoo kale waa sawir. Sidee sawirada SVG u noqon karaan khatar? Sababtoo ah waxaad ku dhex dari kartaa qaybo JavaScript ah iyaga!

Waxaa soo baxday in faylasha la soo dejiyey ay heli karaan dhammaan dadka isticmaala adeegga MCS, taas oo macnaheedu yahay in ay suurtagal tahay in la weeraro dadka kale ee isticmaala daruuraha, kuwaas oo ah maamulayaasha.

Tusaalaha foomka galitaanka phishing-ka ee lagu duray iyadoo la adeegsanayo weerarka XSS

Tusaalooyinka ka faa'iidaysiga weerarka XSS:

• Maxaad isku daydaa inaad xaddo kalfadhi (gaar ahaan tan iyo hadda HTTP-Kaliya cookies ayaa meel walba yaal, laga ilaaliyo xatooyada iyadoo la adeegsanayo qoraallada js), haddii qoraalka la raray uu isla markaaba geli karo agabka API? Xaaladdan oo kale, culeysku wuxuu isticmaali karaa codsiyada XHR si uu u beddelo qaabeynta server-ka, tusaale ahaan, ku dar furaha dadweynaha ee SSH ee weerarka iyo helitaanka SSH ee serverka.
• Haddii siyaasadda CSP (siyaasadda ilaalinta macluumaadka) ay ka mamnuucdo JavaScript in lagu duro, weeraryahanku wuu heli karaa la'aanteed. Adigoo isticmaalaya HTML saafi ah, u samee foom gal been abuur ah goobta oo ka xado erayga sirta ah ee maamulaha adoo adeegsanaya phishing-gan horumarsan: bogga phishing-ka ee isticmaaluhu wuxuu ku dhamaanayaa isla URL, wayna ku adagtahay isticmaaluhu inuu ogaado.
• Ugu dambeyntii, weeraryahanku wuu habeyn karaa macmiilka DoS - dhig Kukiyada ka weyn 4 KB. Isticmaaluhu wuxuu u baahan yahay kaliya inuu furo isku xirka hal mar, goobta oo dhanna waxay noqotaa mid aan la heli karin ilaa isticmaaluhu uu ka fekerayo inuu si gaar ah u nadiifiyo browserka: inta badan kiisaska, server-ka webka ayaa diidi doona inuu aqbalo macmiilka noocaas ah.

Aynu eegno tusaale XSS kale oo la ogaaday, markan oo leh ka faa'iidaysi xariif ah. Adeegga MCS wuxuu kuu ogolaanayaa inaad isku geyso goobaha dab-damiska oo kooxo ah. Magaca kooxdu wuxuu ahaa meesha XSS laga helay. Gaar ahaan waxay ahayd in vector-ku aanu isla markiiba kicin, maaha marka la eegayo liiska xeerarka, laakiin marka la tirtirayo koox:

Taasi waa, xaaladdu waxay noqotay sida soo socota: weeraryahanku wuxuu abuuraa qaanuun dab-damis ah oo leh "load" magaca, maamuluhu wuxuu ogaanayaa in yar ka dib wuxuuna bilaabayaa habka tirtirka. Waana halka uu ka shaqeeyo JS xaasidnimo.

Horumarinta MCS, si ay uga difaacaan XSS sawirada SVG ee la soo dejiyay (haddii aan la dayacin karin), kooxda Amniga Dijital ah waxay ku taliyeen:

• Dhig faylasha ay isticmaalayaashu soo geliyaan meel gaar ah oo aan shaqo ku lahayn "cookies". Qoraalka waxaa lagu fulin doonaa iyadoo loo eegayo meel kale oo aan khatar u keeni doonin MCS.
• Jawaabta HTTP ee server-ka, u dir madaxa "Content-disposition: attachment". Markaa faylalka waxaa soo dejisan doona browserka oo lama fulin doono.

Intaa waxaa dheer, hadda waxaa jira habab badan oo ay heli karaan horumariyeyaasha si loo yareeyo khatarta ka faa'iidaysiga XSS:

• Adigoo isticmaalaya calanka "HTTP Only", waxaad samayn kartaa fadhi "Cookies" madaxyada mid aan la geli karin JavaScript;
• si sax ah loo fuliyay siyaasadda CSP waxay aad uga dhigi doontaa mid aad u adag in qofka wax weeraraya uu ka faa'iidaysto XSS;
• Matoorada template casriga ah sida Angular ama React waxay si toos ah u nadiifiyaan xogta isticmaalaha ka hor inta aan loo saarin browserka isticmaalaha.

Nuglaanta xaqiijinta laba-factor

Si loo hagaajiyo amniga akoontiga, isticmaalayaasha waxaa had iyo jeer lagula talinayaa inay awood u yeeshaan 2FA (xaqiijinta laba-factor). Runtii, tani waa hab wax ku ool ah oo looga hortagayo weeraryahan inuu helo adeeg haddii aqoonsiga isticmaalaha la jabiyay.

Laakiin isticmaalka qodobka xaqiijinta labaad had iyo jeer ma dammaanad qaadayaa badbaadada xisaabta? Waxaa jira arrimaha soo socda ee amniga ee hirgelinta 2FA:

• Raadinta xoog-fudud ee koodka OTP (codes hal mar ah). In kasta oo ay fududdahay hawlgalka, khaladaadka sida ka hortagga la'aanta xoogga OTP waxaa sidoo kale la kulma shirkado waaweyn: Kiis caajis ah, Kiis Facebook.
• Algorithm jiilka daciifka ah, tusaale ahaan awooda lagu saadaaliyo koodka xiga.
• Khaladaadka macquulka ah, sida awoodda aad ku codsan karto OTP qof kale taleefankaaga, sida tan waxay ahayd ka Shopify.

Marka laga hadlayo MCS, 2FA waxaa la hirgeliyay iyadoo lagu salaynayo Google Authenticator iyo labada. Hab-maamuuska laftiisa ayaa mar hore la tijaabiyay, laakiin hirgelinta koodka xaqiijinta dhinaca codsiga ayaa mudan in la hubiyo.

MCS 2FA waxa loo isticmaalaa dhawr meelood:

• Marka la xaqiijiyo isticmaalaha. Waxaa jira ka-hortag ka dhan ah xoogga caarada: isticmaaluhu kaliya wuxuu leeyahay dhowr isku day oo uu ku galo erayga sirta ah ee hal mar ah, ka dib gelinta waa la xannibay in muddo ah. Tani waxay xannibaysaa suurtagalnimada xulashada xoogga-xoog ee OTP.
• Marka la soo saarayo koodka kaydinta khadka tooska ah si loo sameeyo 2FA, iyo sidoo kale curyaaminta Halkan, wax ilaalin ah oo xoog leh lagama hirgelin, taas oo suurtogal ka dhigtay, haddii aad haysatid lambarka sirta ah ee koontada iyo fadhiga firfircoon, inaad dib u soo kiciso koodhadhka kaydinta ama gebi ahaanba joojiso 2FA.

Iyadoo la tixgelinayo in koodhadhka kaydka ah ay ku yaalliin isla qiimaha xargaha sida kuwa uu sameeyay codsiga OTP, fursadda helitaanka koodka waqti gaaban ayaa aad u sarreeyay.

Habka xulashada OTP si loo joojiyo 2FA iyadoo la isticmaalayo "Burp: Intruder" qalab

natiijada

Guud ahaan, MCS waxay u muuqataa mid badbaado leh badeecad ahaan. Intii lagu jiray xisaab-xidhka, kooxda ganaaxday way awoodi wayday inay helaan VM-yada macmiilka iyo xogtooda, baylahda la helayna waxa si degdeg ah u saxay kooxda MCS.

Laakiin halkan waxaa muhiim ah in la ogaado in ammaanku yahay shaqo joogto ah. Adeegyadu ma aha kuwo taagan, si joogto ah ayay u horumarayaan. Oo waa wax aan suurtagal ahayn in la horumariyo badeecad gabi ahaanba iyada oo aan lahayn nuglaansho. Laakin waxaad ku heli kartaa wakhtiga oo aad yaraynaysaa fursada soo noqoshada.

Hadda dhammaan baylahda la sheegay MCS waa la hagaajiyay. Iyo si loo yareeyo tirada kuwa cusub oo loo yareeyo noloshooda, kooxda madalku waxay sii wadaan inay sidan sameeyaan:

• in ay si joogto ah u sameeyaan xisaab xidhka shirkadaha dibadda;
• taageero iyo horumarinta ka qaybgalka gudaha barnaamijka Kooxda Bug Bounty ee Mail.ru;
• ku hawlan ammaanka. 🙂

Source: www.habr.com