Tlhahlobo ea ts'ireletso ea sethala sa maru sa MCS

SkyShip Dusk ka SeerLight

Ho aha tšebeletso efe kapa efe ho hlile ho kenyelletsa mosebetsi o sa khaotseng oa ts'ireletso. Tšireletseho ke ts'ebetso e tsoelang pele e kenyelletsang tlhahlobo e sa khaotseng le ntlafatso ea ts'ireletso ea sehlahisoa, ho beha leihlo litaba tse mabapi le bofokoli le tse ling tse ngata. Ho kenyeletsoa le liphuputso. Liphuputso li etsoa ka bobeli ka hare ho ntlo le ke litsebi tsa ka ntle, tse ka thusang haholo ka ts'ireletso hobane ha li kenelle morerong mme li na le kelello e bulehileng.

Sehlooho se bua ka pono ena e tobileng ka ho fetisisa ea litsebi tsa ka ntle tse thusitseng sehlopha sa Mail.ru Cloud Solutions (MCS) ho hlahloba tšebeletso ea leru, le ka seo ba se fumaneng. E le “matla a ka ntle,” MCS e ile ea khetha k’hamphani ea Digital Security, e tsebahalang ka botsebi ba eona bo phahameng litabeng tsa tšireletso ea tlhahisoleseding. 'Me sengoliloeng sena re tla sekaseka bofokoli bo bong bo khahlisang bo fumanoeng e le karolo ea tlhahlobo ea kantle - e le hore u ka qoba rake e ts'oanang ha u iketsetsa ts'ebeletso ea hau ea leru.

Tlhaloso ea Sehlahiswa

Mail.ru Cloud Solutions (MCS) ke sethala sa ho haha ​​​​lisebelisoa tse fumanehang marung. E kenyelletsa IaaS, PaaS, le 'maraka oa litšoantšo tse seng li entsoe tse etselitsoeng batho ba ntlafatsang. Ha ho nahanoa ka meralo ea MCS, ho ile ha hlokahala ho hlahloba polokeho ea sehlahisoa libakeng tse latelang:

• ho sireletsa lisebelisoa tsa tikoloho ea virtualization: hypervisors, routing, firewall;
• ts'ireletso ea lisebelisoa tsa mantlha tsa bareki: ho itšehla thajana, ho kenyelletsa marang-rang, marang-rang a ikemetseng ho SDN;
• OpenStack le likarolo tsa eona tse bulehileng;
• S3 ea moralo oa rona;
• IAM: merero ea batho ba bangata ba hiriloeng e nang le mohlala;
• Pono (pono ea k'homphieutha): APIs le bofokoli ha u sebetsa le litšoantšo;
• sehokelo sa webo le litlhaselo tsa khale tsa webo;
• bofokoli ba likarolo tsa PaaS;
• API ea likarolo tsohle.

Mohlomong ke sona feela se hlokahalang bakeng sa histori e eketsehileng.

Ho ne ho etsoa mosebetsi oa mofuta ofe, hona ke hobane’ng ha o ne o hlokahala?

Tlhahlobo ea ts'ireletso e reretsoe ho hloaea bofokoli le liphoso tsa tlhophiso tse ka lebisang ho lutla ha data ea motho ka mong, ho feto-fetoha ha litaba tsa bohlokoa, kapa ho sitisa ho fumaneha ha litšebeletso.

Nakong ea mosebetsi, o nkang ka karolelano likhoeli tse 1-2, bahlahlobi ba pheta-pheta liketso tsa bahlaseli ba ka 'nang ba e-ba teng' me ba sheba bofokoli ho bareki le likarolo tsa seva tsa tšebeletso e khethiloeng. Boemong ba tlhahlobo ea sethala sa maru sa MCS, lipakane tse latelang li khethiloe:

1. Tlhahlobo ea netefatso tšebeletsong. Bofokoli karolong ena bo ka thusa ho kena hang-hang liakhaontong tsa batho ba bang.
2. Ho ithuta mohlala le taolo ea phihlello lipakeng tsa liakhaonto tse fapaneng. Bakeng sa mohlaseli, bokhoni ba ho fumana mochine oa sebele oa motho e mong ke sepheo se lakatsehang.
3. Bofokoli ba lehlakore la moreki. XSS/CSRF/CRLF/etc. Na hoa khoneha ho hlasela basebelisi ba bang ka lihokelo tse mpe?
4. Bofokoli ba lehlakore la seva: RCE le mefuta eohle ea liente (SQL/XXE/SSRF joalo-joalo). Bofokoli ba li-server hangata bo thata haholo ho bo fumana, empa bo lebisa ho tsietsing ea basebelisi ba bangata ka nako e le 'ngoe.
5. Tlhahlobo ea ho itšehla thajana ha karolo ea basebelisi boemong ba marang-rang. Bakeng sa mohlaseli, ho hloka ho itšehla thajana ho eketsa haholo sebaka sa tlhaselo khahlanong le basebelisi ba bang.
6. Tlhahlobo ea kelello ea khoebo. Na hoa khoneha ho thetsa likhoebo le ho theha mechini e fumanehang mahala?

Morerong ona, mosebetsi o ile oa etsoa ho latela mohlala oa "Grey-box": bahlahlobi ba sebelisana le ts'ebeletso ka litokelo tsa basebelisi ba tloaelehileng, empa ka mokhoa o itseng ba ne ba e-na le khoutu ea mohloli oa API mme ba ba le monyetla oa ho hlakisa lintlha le bahlahisi. Hangata sena ke sona se loketseng ka ho fetisisa, 'me ka nako e ts'oanang ke mohlala oa sebele oa mosebetsi: boitsebiso ba ka hare bo ntse bo ka bokelloa ke mohlaseli, ke taba ea nako feela.

Bofokoli bo fumanoe

Pele mohlahlobi a qala ho romela meroalo e fapaneng ea meputso (moroalo o sebelisoang ho etsa tlhaselo) libakeng tse sa reroang, hoa hlokahala ho utloisisa hore na lintho li sebetsa joang le hore na ho fanoa ka tšebetso efe. Ho ka 'na ha bonahala eka sena ke boikoetliso bo se nang thuso, hobane libakeng tse ngata tse ithutoang ho ke ke ha e-ba le bofokoli. Empa feela ho utloisisa sebopeho sa ts'ebeliso le mohopolo oa ts'ebetso ea eona ho tla etsa hore ho khonehe ho fumana li-vector tse thata ka ho fetisisa tsa tlhaselo.

Ho bohlokoa ho fumana libaka tse bonahalang li belaetsa kapa tse fapaneng haholo le tse ling ka tsela e itseng. 'Me ts'oaetso ea pele e kotsi e ile ea fumanoa ka tsela ena.

IDOR

Bofokoli ba IDOR (Insecure Direct Object Reference) ke bofokoli bo bong bo atileng haholo molemong oa khoebo, e lumellang e mong kapa e mong ho fumana monyetla oa ho fumana lintho tseo phihlello e sa lumelloeng ho tsona. Bofokoli ba IDOR bo theha monyetla oa ho fumana leseli mabapi le mosebelisi oa maemo a fapaneng a bohlokoa.

E 'ngoe ea likhetho tsa IDOR ke ho etsa liketso ka lintho tsa sistimi (basebelisi, li-account tsa banka, lintho tse kariking ea ho reka) ka ho qhekella li-identifiers tsa phihlello ho lintho tsena. Sena se lebisa liphellong tse sa lebelloang ka ho fetisisa. Ka mohlala, monyetla oa ho khutlisa akhaonto ea motho ea romelang chelete, eo ka eona u ka e utsoang ho basebelisi ba bang.

Tabeng ea MCS, bahlahlobi ba sa tsoa sibolla bofokoli ba IDOR bo amanang le li-identifiers tse sa sireletsehang. Tlalehong ea botho ea mosebedisi, li-identifiers tsa UUID li ne li sebelisetsoa ho fumana lintho leha e le life, tse neng li bonahala, joalokaha litsebi tsa tšireletso li re, li sa sireletseha ka mokhoa o tsotehang (ke hore, li sirelelitsoe litlhaselong tse sehlōhō). Empa bakeng sa mekhatlo e itseng, ho ile ha sibolloa hore linomoro tsa kamehla tse lebelloang li sebelisoa ho fumana leseli mabapi le basebelisi ba ts'ebeliso. Ke nahana hore u ka hakanya hore ho ne ho khoneha ho fetola ID ea mosebedisi ka bonngoe, ho romela kopo hape 'me kahoo u fumane boitsebiso ka ho feta ACL (lenane la taolo ea phihlello, melao ea phihlello ea data bakeng sa lits'ebetso le basebelisi).

Server Side Request Forgery (SSRF)

Ntho e ntle ka lihlahisoa tsa OpenSource ke hore li na le liforamu tse ngata tse nang le litlhaloso tse qaqileng tsa tekheniki tsa mathata a hlahang, 'me haeba u le lehlohonolo, tlhaloso ea tharollo. Empa chelete ena ea tšepe e na le lehlakore: bofokoli bo tsejoang le bona bo hlalosoa ka botlalo. Mohlala, ho na le litlhaloso tse ntle tsa bofokoli sethaleng sa OpenStack [XSS] и [SSRF], eo ka mabaka a mang ho seng motho ea potlakileng ho e lokisa.

Ts'ebetso e tloaelehileng ea lits'ebetso ke bokhoni ba mosebelisi ho romella sehokelo ho seva, seo seva se tobetsang ho sona (mohlala, ho jarolla setšoantšo ho tsoa mohloling o boletsoeng). Haeba lisebelisoa tsa ts'ireletso li sa sefe lihokelo ka botsona kapa likarabo tse khutlisoang ho tsoa ho seva ho ea ho basebelisi, ts'ebetso e joalo e ka sebelisoa habonolo ke bahlaseli.

Bofokoli ba SSRF bo ka ntšetsa pele nts'etsopele ea tlhaselo haholo. Motho ea hlaselang a ka fumana:

• phihlello e fokolang ea marang-rang a sebakeng se hlasetsoeng, mohlala, feela ka likarolo tse itseng tsa marang-rang le ho sebelisa protocol e itseng;
• ho fihlella ka ho feletseng marang-rang a sebaka sa heno, haeba ho theoha ho tloha boemong ba kopo ho ea boemong ba lipalangoang ho ka khoneha 'me, ka lebaka leo, ho laola mojaro o feletseng boemong ba kopo;
• phihlello ea ho bala lifaele tsa lehae ho seva (haeba faele: /// sekema se tšehetsoa);
• le tse ling tse ngata.

Kotsi ea SSRF e 'nile ea tsejoa ka nako e telele ho OpenStack, e "foufetseng" ka tlhaho: ha u ikopanya le seva, ha u fumane karabo ho eona, empa u fumana mefuta e fapaneng ea liphoso / tieho, ho itšetlehile ka sephetho sa kopo. . Ho itšetlehile ka sena, u ka etsa tlhahlobo ea li-port ho ba-host ho marang-rang a ka hare, ka liphello tsohle tse latelang tse sa lokelang ho nkoa habobebe. Ka mohlala, sehlahisoa se ka ba le API ea morao-rao e fumanehang feela ho tsoa ho marang-rang a khoebo. Ka litokomane (u se ke ua lebala ka ba ka hare), mohlaseli a ka sebelisa SSRF ho fumana mekhoa ea ka hare. Mohlala, haeba ka tsela e itseng u khonne ho fumana lenane le lekantsoeng la li-URL tse sebetsang, joale u sebelisa SSRF u ka li feta 'me ua etsa kopo - ha ho bapisoa, fetisetsa chelete ho tloha akhaonteng ho ea ho akhaonto kapa ho fetola meeli.

Ha se lekhetlo la pele ho fumanoa tlokotsi ea SSRF ho OpenStack. Nakong e fetileng, ho ne ho ka khoneha ho khoasolla litšoantšo tsa VM ISO ho tloha ho sehokelo se tobileng, se ileng sa boela sa lebisa liphellong tse tšoanang. Karolo ena e se e tlositsoe ho OpenStack. Kamoo ho bonahalang kateng, sechaba se ile sa nka sena e le tharollo e bonolo le e tšepahalang ka ho fetisisa ea bothata.

Mme ka sena tlaleho e fumanehang phatlalatsa ho tsoa ho ts'ebeletso ea HackerOne (h1), ts'ebeliso ea SSRF e seng e sa bone e nang le bokhoni ba ho bala metadata ea mohlala e lebisa ho phihlello ea Root ho lisebelisoa tsohle tsa Shopify.

Ho MCS, bofokoli ba SSRF bo ile ba sibolloa libakeng tse peli tse nang le ts'ebetso e ts'oanang, empa ho ne ho batla ho sa khonehe ho sebelisoa ka lebaka la li-firewall le litšireletso tse ling. Ka tsela e itseng, sehlopha sa MCS se ile sa lokisa bothata bona leha ho le joalo, ntle le ho emela sechaba.

XSS sebakeng sa ho kenya likhetla

Ho sa tsotellehe lithuto tse makholo tse ngotsoeng, selemo le selemo tlhaselo ea XSS (cross-site scripting) e ntse e le eona e ngata ka ho fetisisa kgafetsa ho kopana ho ba kotsing ea marang-rang (kapa hlasela?).

Lifaele tse kentsoeng ke sebaka se ratoang ke mofuputsi ofe kapa ofe oa ts'ireletso. Hangata hoa fumaneha hore o ka kenya mongolo o se nang boikemelo (asp/jsp/php) mme o phethe litaelo tsa OS, ka poleloana ea pentesters - "shell shell". Empa botumo ba bofokoli bo joalo bo sebetsa ka mahlakoreng a mabeli: baa hopoloa 'me ho etsoa litlhare khahlanong le bona, hoo haufinyane monyetla oa ho "jarisa khetla" o atisa ho ba zero.

Sehlopha se hlaselang (se emetsoeng ke Digital Security) se bile lehlohonolo. Ho lokile, ho MCS ka lehlakoreng la seva litaba tsa lifaele tse jarollotsoeng li ile tsa hlahlojoa, ke litšoantšo feela tse lumelletsoeng. Empa SVG le eona ke setšoantšo. Litšoantšo tsa SVG li ka ba kotsi joang? Hobane o ka kenya linepe tsa JavaScript ho tsona!

Ho ile ha fumaneha hore lifaele tse jarollotsoeng li fumaneha ho basebelisi bohle ba ts'ebeletso ea MCS, ho bolelang hore hoa khoneha ho hlasela basebelisi ba bang ba maru, e leng batsamaisi.

Mohlala oa tlhaselo ea XSS foromong ea ho kena ha phishing

Mehlala ea tlhekefetso ea tlhaselo ea XSS:

• Ke hobane'ng ha u leka ho utsoa seboka (haholo-holo ho tloha ha joale li-cookie tsa HTTP-Feela li hohle, li sirelelitsoe bosholung u sebelisa js scripts), haeba script e laetsoeng e ka fumana hang-hang mohloli oa API? Tabeng ena, moputso o ka sebelisa likōpo tsa XHR ho fetola tlhophiso ea seva, ka mohlala, eketsa senotlolo sa SSH sa sechaba sa mohlaseli 'me u fumane monyetla oa ho fumana SSH ho seva.
• Haeba leano la CSP (leano la tshireletso ya dikahare) le thibela JavaScript ho entoa, mohlaseli a ka phela ntle le yona. U sebelisa HTML e hloekileng, etsa foromo ea fake ea sebaka sa marang-rang 'me u utsoe phasewete ea molaoli ka phishing ena e tsoetseng pele: leqephe la phishing bakeng sa mosebelisi le fella ho URL e ts'oanang,' me ho thata le ho feta hore mosebelisi a e bone.
• Qetellong, mohlaseli a ka hlophisa moreki DoS — seta Li-cookie tse kholo ho feta 4 KB. Mosebelisi o hloka feela ho bula sehokelo hanngoe, 'me sebaka sohle se fetoha se sa fumaneheng ho fihlela mosebelisi a nahana ho hloekisa sebatli ka ho khetheha: maemong a mangata, seva sa webo se tla hana ho amohela moreki ea joalo.

Ha re shebeng mohlala oa XSS e 'ngoe e fumanoeng, lekhetlong lena e nang le ts'ebetso e bohlale ho feta. Tšebeletso ea MCS e u lumella ho kopanya li-setting tsa firewall ka lihlopha. Lebitso la sehlopha ke moo XSS e ileng ea fumanoa teng. Ntho e ikhethang e ne e le hore vector ha ea ka ea qala hang-hang, eseng ha e shebella lethathamo la melao, empa ha e tlosa sehlopha:

Ke hore, boemo bo ile ba fetoha bo latelang: mohlaseli o etsa molao oa firewall ka "moroalo" ka lebitso, mookameli o e hlokomela ka mor'a nakoana mme o qala ts'ebetso ea ho tlosa. 'Me mona ke moo JS e kotsi e sebetsang teng.

Hore baetsi ba MCS ba sireletse khahlanong le XSS litšoantšong tse kentsoeng tsa SVG (haeba li ke ke tsa siuoa), sehlopha sa Tšireletso ea Digital se khothalelitse:

• Beha lifaele tse kentsoeng ke basebelisi sebakeng se arohaneng se sa amaneng le "cookies". Sengoliloeng se tla etsoa molemong oa sebaka se fapaneng 'me se ke ke sa beha tšokelo ho MCS.
• Karabelong ea HTTP ea seva, romella sehlooho sa "Content-disposition: attachment". Ebe lifaele li tla kopitsoa ke sebatli mme li se ke tsa etsoa.

Ntle le moo, ho na le mekhoa e mengata e fumanehang ho bahlahisi ho fokotsa likotsi tsa tšebeliso ea XSS:

• u sebelisa folakha ea "HTTP Feela", u ka etsa hore lihlooho tsa "Cookies" li se ke tsa fumaneha ho JavaScript e mpe;
• pholisi ea CSP e sebelisitsoeng ka nepo e tla etsa hore ho be thata le ho feta hore mohlaseli a sebelise XSS hampe;
• lienjineri tsa sejoale-joale tsa litempele tse kang Angular kapa React li hloekisa data ea mosebelisi ka bo eona pele li e fetisetsa ho sebatli sa mosebelisi.

Bofokoli ba ho netefatsa lintlha tse peli

Ho ntlafatsa ts'ireletso ea akhaonto, basebelisi ba lula ba eletsoa ho nolofalletsa 2FA (bopaki ba lintlha tse peli). Ka 'nete, ona ke mokhoa o sebetsang oa ho thibela mohlaseli ho fumana litšebeletso haeba boitsebiso ba mosebedisi bo senyehile.

Empa na ho sebelisa ntlha ea bobeli ea netefatso kamehla ho netefatsa polokeho ea akhaonto? Ho na le lintlha tse latelang tsa ts'ireletso ts'ebetsong ea 2FA:

• Patlisiso e matla ea khoutu ea OTP (likhoutu tsa nako e le 'ngoe). Leha e le bonolo ba ts'ebetso, liphoso tse joalo ka khaello ea ts'ireletso khahlano le matla a sehlōhō a OTP le tsona li kopana le lik'hamphani tse kholo: Nyeoe e monyebe, Facebook nyeoe.
• Algorithm ea moloko o fokolang, mohlala, bokhoni ba ho bolela khoutu e latelang.
• Liphoso tse utloahalang, joalo ka bokhoni ba ho kopa OTP ea motho e mong fonong ea hau, joalo ka ena e ne e le joalo ho tsoa ho Shopify.

Tabeng ea MCS, 2FA e kenngoa ts'ebetsong ho latela Google Authenticator le Duo. Protocol ka boeona e se e lekoa ka nako, empa ts'ebetsong ea netefatso ea khoutu ka lehlakoreng la kopo e lokela ho hlahlojoa.

MCS 2FA e sebelisoa libakeng tse 'maloa:

• Ha o netefatsa mosebedisi. Ho na le tšireletso khahlanong le matla a sehlōhō: mosebedisi o na le boiteko bo fokolang feela ba ho kenya phasewete ea nako e le 'ngoe, ebe ho kenngoa ho koetsoe ka nakoana. Sena se thibela monyetla oa ho khetha OTP ka matla.
• Ha o hlahisa likhoutu tsa "backup" ntle le marang-rang ho etsa 2FA, hammoho le ho e tima. Mona, ha ho ts'ireletso ea matla a sehlōhō e kentsoeng ts'ebetsong, e leng se entseng hore ho khonehe, haeba u ne u e-na le password bakeng sa akhaonto le seboka se sebetsang, ho tsosolosa likhoutu tsa ho boloka kapa ho tima 2FA ka ho feletseng.

Ha ho nahanoa hore likhoutu tsa "backup" li ne li le maemong a tšoanang a likhoele joalo ka tse hlahisitsoeng ke ts'ebeliso ea OTP, monyetla oa ho fumana khoutu ka nako e khuts'oane o ne o le holimo haholo.

Mokhoa oa ho khetha OTP ho tima 2FA o sebelisa sesebelisoa sa "Burp: Intruder".

sephetho

Ka kakaretso, MCS e bonahala e sireletsehile joaloka sehlahisoa. Nakong ea tlhahlobo, sehlopha sa boipiletso ha sea khona ho fumana li-VM tsa bareki le data ea bona, 'me bofokoli bo fumanoeng bo ile ba lokisoa ka potlako ke sehlopha sa MCS.

Empa mona ke habohlokoa ho hlokomela hore ts'ireletso ke mosebetsi o tsoelang pele. Litšebeletso ha li eme, li lula li fetoha. 'Me ho ke ke ha khoneha ho hlahisa sehlahisoa ka ho feletseng ntle le bofokoli. Empa u ka li fumana ka nako, 'me ua fokotsa monyetla oa ho ipheta.

Hona joale bofokoli bohle bo boletsoeng ho MCS bo se bo lokisitsoe. E le ho boloka palo ea ba bacha e le bonyane le ho fokotsa bophelo ba bona, sehlopha sa sethala se ntse se tsoela pele ho etsa sena:

• ho etsa tlhahlobo ea lichelete khafetsa ke lik'hamphani tsa kantle;
• tshehetsa le ho ntshetsapele seabo lenaneong la Mail.ru Group Bug Bounty;
• kenya letsoho tshireletsong. 🙂

Source: www.habr.com