புரோஹோஸ்டர் > Блог > நிர்வாகம் > MCS கிளவுட் தளத்தின் பாதுகாப்பு தணிக்கை

MCS கிளவுட் தளத்தின் பாதுகாப்பு தணிக்கை

MCS கிளவுட் தளத்தின் பாதுகாப்பு தணிக்கை
ஸ்கைஷிப் அந்தி சீர்லைட் மூலம்

எந்தவொரு சேவையையும் உருவாக்குவது பாதுகாப்பிற்கான நிலையான வேலைகளை உள்ளடக்கியது. பாதுகாப்பு என்பது தொடர்ச்சியான பகுப்பாய்வு மற்றும் தயாரிப்பு பாதுகாப்பை மேம்படுத்துதல், பாதிப்புகள் பற்றிய செய்திகளைக் கண்காணித்தல் மற்றும் பலவற்றை உள்ளடக்கிய ஒரு தொடர்ச்சியான செயல்முறையாகும். தணிக்கைகள் உட்பட. தணிக்கைகள் உள்நாட்டிலும் வெளிப்புற நிபுணர்களாலும் மேற்கொள்ளப்படுகின்றன, அவர்கள் திட்டத்தில் மூழ்காமல் மற்றும் திறந்த மனதுடன் பாதுகாப்பிற்கு தீவிரமாக உதவ முடியும்.

Mail.ru Cloud Solutions (MCS) குழுவானது கிளவுட் சேவையைச் சோதிக்க உதவிய வெளி நிபுணர்களின் இந்த மிக நேரடியான பார்வையைப் பற்றியது மற்றும் அவர்கள் கண்டறிந்தவை பற்றியது. "வெளிப்புற சக்தியாக", MCS, தகவல் பாதுகாப்பு வட்டங்களில் அதிக நிபுணத்துவம் பெற்ற டிஜிட்டல் செக்யூரிட்டி நிறுவனத்தைத் தேர்ந்தெடுத்தது. இந்த கட்டுரையில் வெளிப்புற தணிக்கையின் ஒரு பகுதியாக காணப்படும் சில சுவாரஸ்யமான பாதிப்புகளை நாங்கள் பகுப்பாய்வு செய்வோம் - உங்கள் சொந்த கிளவுட் சேவையை நீங்கள் உருவாக்கும்போது அதே ரேக்கைத் தவிர்க்கலாம்.

Описание продукта

Mail.ru Cloud Solutions (MCS) கிளவுட்டில் மெய்நிகர் உள்கட்டமைப்பை உருவாக்குவதற்கான ஒரு தளமாகும். இது IaaS, PaaS மற்றும் டெவலப்பர்களுக்கான ஆயத்த பயன்பாட்டு படங்களின் சந்தை ஆகியவற்றை உள்ளடக்கியது. MCS கட்டமைப்பைக் கருத்தில் கொண்டு, பின்வரும் பகுதிகளில் தயாரிப்பின் பாதுகாப்பைச் சரிபார்க்க வேண்டியது அவசியம்:

  • மெய்நிகராக்க சூழலின் உள்கட்டமைப்பைப் பாதுகாத்தல்: ஹைப்பர்வைசர்கள், ரூட்டிங், ஃபயர்வால்கள்;
  • வாடிக்கையாளர்களின் மெய்நிகர் உள்கட்டமைப்பின் பாதுகாப்பு: SDN இல் நெட்வொர்க், தனியார் நெட்வொர்க்குகள் உட்பட ஒருவருக்கொருவர் தனிமைப்படுத்துதல்;
  • OpenStack மற்றும் அதன் திறந்த கூறுகள்;
  • எங்கள் சொந்த வடிவமைப்பின் S3;
  • IAM: முன்மாதிரியுடன் கூடிய பல குத்தகைதாரர் திட்டங்கள்;
  • பார்வை (கணினி பார்வை): படங்களுடன் பணிபுரியும் போது APIகள் மற்றும் பாதிப்புகள்;
  • வலை இடைமுகம் மற்றும் கிளாசிக் வலை தாக்குதல்கள்;
  • PaaS கூறுகளின் பாதிப்புகள்;
  • அனைத்து கூறுகளின் API.

ஒருவேளை அதுவே மேலும் வரலாற்றுக்கு இன்றியமையாதது.

என்ன வகையான வேலை மேற்கொள்ளப்பட்டது, அது ஏன் தேவைப்பட்டது?

பாதுகாப்பு தணிக்கை என்பது தனிப்பட்ட தரவு கசிவு, முக்கியமான தகவல்களை மாற்றுதல் அல்லது சேவை கிடைப்பதில் இடையூறு ஏற்படக்கூடிய பாதிப்புகள் மற்றும் உள்ளமைவு பிழைகளை கண்டறிவதை நோக்கமாகக் கொண்டுள்ளது.

சராசரியாக 1-2 மாதங்கள் நீடிக்கும் வேலையின் போது, ​​தணிக்கையாளர்கள் சாத்தியமான தாக்குதலாளிகளின் செயல்களை மீண்டும் செய்கிறார்கள் மற்றும் தேர்ந்தெடுக்கப்பட்ட சேவையின் கிளையன்ட் மற்றும் சர்வர் பகுதிகளில் உள்ள பாதிப்புகளைத் தேடுகிறார்கள். MCS கிளவுட் இயங்குதளத்தின் தணிக்கையின் பின்னணியில், பின்வரும் இலக்குகள் அடையாளம் காணப்பட்டன:

  1. சேவையில் அங்கீகாரத்தின் பகுப்பாய்வு. இந்தக் கூறுகளில் உள்ள பாதிப்புகள் உடனடியாக மற்றவர்களின் கணக்குகளுக்குச் செல்ல உதவும்.
  2. வெவ்வேறு கணக்குகளுக்கு இடையே முன்மாதிரி மற்றும் அணுகல் கட்டுப்பாட்டைப் படிப்பது. தாக்குபவர்களுக்கு, வேறொருவரின் மெய்நிகர் இயந்திரத்திற்கான அணுகலைப் பெறுவதற்கான திறன் விரும்பத்தக்க இலக்காகும்.
  3. வாடிக்கையாளர் பக்க பாதிப்புகள். XSS/CSRF/CRLF/etc. தீங்கிழைக்கும் இணைப்புகள் மூலம் பிற பயனர்களைத் தாக்க முடியுமா?
  4. சர்வர் பக்க பாதிப்புகள்: RCE மற்றும் அனைத்து வகையான ஊசிகள் (SQL/XXE/SSRF மற்றும் பல). சர்வர் பாதிப்புகளைக் கண்டறிவது பொதுவாக மிகவும் கடினம், ஆனால் அவை ஒரே நேரத்தில் பல பயனர்களின் சமரசத்திற்கு வழிவகுக்கும்.
  5. நெட்வொர்க் மட்டத்தில் பயனர் பிரிவு தனிமைப்படுத்தலின் பகுப்பாய்வு. தாக்குபவர்களுக்கு, தனிமைப்படுத்தலின் பற்றாக்குறை மற்ற பயனர்களுக்கு எதிரான தாக்குதல் மேற்பரப்பை பெரிதும் அதிகரிக்கிறது.
  6. வணிக தர்க்க பகுப்பாய்வு. வணிகங்களை ஏமாற்றி இலவசமாக மெய்நிகர் இயந்திரங்களை உருவாக்க முடியுமா?

இந்த திட்டத்தில், "கிரே-பாக்ஸ்" மாதிரியின் படி பணிகள் மேற்கொள்ளப்பட்டன: தணிக்கையாளர்கள் சாதாரண பயனர்களின் சலுகைகளுடன் சேவையுடன் தொடர்பு கொண்டனர், ஆனால் ஓரளவு API இன் மூலக் குறியீட்டைக் கொண்டிருந்தனர் மற்றும் டெவலப்பர்களுடன் விவரங்களை தெளிவுபடுத்துவதற்கான வாய்ப்பைப் பெற்றனர். இது பொதுவாக மிகவும் வசதியானது, அதே நேரத்தில் மிகவும் யதார்த்தமான வேலை மாதிரி: உள் தகவல்களை இன்னும் தாக்குபவர் மூலம் சேகரிக்க முடியும், இது ஒரு நேர விஷயம் மட்டுமே.

பாதிப்புகள் கண்டறியப்பட்டன

ஆடிட்டர் பல்வேறு பேலோடுகளை (தாக்குதலை நடத்தப் பயன்படுத்தப்படும் பேலோடு) சீரற்ற இடங்களுக்கு அனுப்பத் தொடங்கும் முன், விஷயங்கள் எவ்வாறு செயல்படுகின்றன, என்ன செயல்பாடுகள் வழங்கப்படுகின்றன என்பதைப் புரிந்துகொள்வது அவசியம். இது ஒரு பயனற்ற பயிற்சி என்று தோன்றலாம், ஏனென்றால் படித்த பெரும்பாலான இடங்களில் பாதிப்புகள் இருக்காது. ஆனால் பயன்பாட்டின் கட்டமைப்பையும் அதன் செயல்பாட்டின் தர்க்கத்தையும் புரிந்துகொள்வது மட்டுமே மிகவும் சிக்கலான தாக்குதல் திசையன்களைக் கண்டுபிடிப்பதை சாத்தியமாக்கும்.

சந்தேகத்திற்கிடமானதாகத் தோன்றும் அல்லது ஏதோவொரு வகையில் மற்றவர்களிடமிருந்து மிகவும் வித்தியாசமான இடங்களைக் கண்டறிவது முக்கியம். முதல் ஆபத்தான பாதிப்பு இந்த வழியில் கண்டறியப்பட்டது.

ஐடிஓஆர்

IDOR (பாதுகாப்பற்ற நேரடி பொருள் குறிப்பு) பாதிப்புகள் வணிக தர்க்கத்தில் மிகவும் பொதுவான பாதிப்புகளில் ஒன்றாகும், இது அணுகல் உண்மையில் அனுமதிக்கப்படாத பொருட்களை அணுகுவதற்கு ஒன்று அல்லது மற்றொருவரை அனுமதிக்கிறது. ஐடிஓஆர் பாதிப்புகள், பல்வேறு அளவிலான விமர்சனங்களைக் கொண்ட பயனரைப் பற்றிய தகவல்களைப் பெறுவதற்கான வாய்ப்பை உருவாக்குகின்றன.

IDOR விருப்பங்களில் ஒன்று, இந்த பொருள்களுக்கான அணுகல் அடையாளங்காட்டிகளைக் கையாளுவதன் மூலம் கணினி பொருள்களுடன் (பயனர்கள், வங்கிக் கணக்குகள், வணிக வண்டியில் உள்ள பொருட்கள்) செயல்களைச் செய்வது. இது மிகவும் கணிக்க முடியாத விளைவுகளுக்கு வழிவகுக்கிறது. எடுத்துக்காட்டாக, நிதியை அனுப்புபவரின் கணக்கை மாற்றுவதற்கான சாத்தியம், இதன் மூலம் நீங்கள் மற்ற பயனர்களிடமிருந்து அவற்றைத் திருடலாம்.

MCS விஷயத்தில், பாதுகாப்பற்ற அடையாளங்காட்டிகளுடன் தொடர்புடைய IDOR பாதிப்பை ஆடிட்டர்கள் கண்டுபிடித்துள்ளனர். பயனரின் தனிப்பட்ட கணக்கில், UUID அடையாளங்காட்டிகள் எந்தவொரு பொருளையும் அணுகுவதற்குப் பயன்படுத்தப்பட்டன, இது பாதுகாப்பு வல்லுநர்கள் சொல்வது போல் மிகவும் பாதுகாப்பற்றதாகத் தோன்றியது (அதாவது மிருகத்தனமான தாக்குதல்களிலிருந்து பாதுகாக்கப்பட்டது). ஆனால் சில குறிப்பிட்ட நிறுவனங்களுக்கு, பயன்பாட்டின் பயனர்களைப் பற்றிய தகவலைப் பெற வழக்கமான கணிக்கக்கூடிய எண்கள் பயன்படுத்தப்படுகின்றன என்று கண்டறியப்பட்டது. பயனர் ஐடியை ஒருவரால் மாற்றுவது, கோரிக்கையை மீண்டும் அனுப்புவது மற்றும் ACL (அணுகல் கட்டுப்பாடு பட்டியல், செயல்முறைகள் மற்றும் பயனர்களுக்கான தரவு அணுகல் விதிகள்) ஐ கடந்து தகவலைப் பெறுவது சாத்தியம் என்று நீங்கள் யூகிக்க முடியும் என்று நினைக்கிறேன்.

சர்வர் சைட் ரிக்வெஸ்ட் ஃபோர்ஜரி (SSRF)

ஓப்பன்சோர்ஸ் தயாரிப்புகளின் நல்ல விஷயம் என்னவென்றால், அவை எழும் சிக்கல்களின் விரிவான தொழில்நுட்ப விளக்கங்களுடன் கூடிய ஏராளமான மன்றங்களைக் கொண்டுள்ளன, மேலும் நீங்கள் அதிர்ஷ்டசாலியாக இருந்தால், தீர்வு பற்றிய விளக்கமும் உள்ளது. ஆனால் இந்த நாணயத்திற்கு ஒரு மறுபக்கம் உள்ளது: அறியப்பட்ட பாதிப்புகளும் விரிவாக விவரிக்கப்பட்டுள்ளன. எடுத்துக்காட்டாக, OpenStack மன்றத்தில் பாதிப்புகள் பற்றிய அற்புதமான விளக்கங்கள் உள்ளன [XSS] и [SSRF], சில காரணங்களால் யாரும் சரிசெய்ய அவசரப்படவில்லை.

பயன்பாடுகளின் பொதுவான செயல்பாடானது, சேவையகத்திற்கு ஒரு இணைப்பை அனுப்பும் பயனர் திறன் ஆகும், இது சர்வர் கிளிக் செய்கிறது (எடுத்துக்காட்டாக, ஒரு குறிப்பிட்ட மூலத்திலிருந்து படத்தைப் பதிவிறக்க). பாதுகாப்பு கருவிகள் இணைப்புகளை வடிகட்டவில்லை அல்லது சேவையகத்திலிருந்து பயனர்களுக்கு அனுப்பப்பட்ட பதில்களை வடிகட்டவில்லை என்றால், அத்தகைய செயல்பாட்டை தாக்குபவர்களால் எளிதாகப் பயன்படுத்தலாம்.

SSRF பாதிப்புகள் தாக்குதலின் வளர்ச்சியை பெரிதும் முன்னேற்றும். தாக்குபவர் பெறலாம்:

  • தாக்கப்பட்ட உள்ளூர் நெட்வொர்க்கிற்கான வரையறுக்கப்பட்ட அணுகல், எடுத்துக்காட்டாக, சில நெட்வொர்க் பிரிவுகள் மூலம் மற்றும் ஒரு குறிப்பிட்ட நெறிமுறையைப் பயன்படுத்துதல்;
  • உள்ளூர் நெட்வொர்க்கிற்கான முழு அணுகல், பயன்பாட்டு மட்டத்திலிருந்து போக்குவரத்து நிலைக்கு தரமிறக்கப்படுவது சாத்தியம் மற்றும் அதன் விளைவாக, பயன்பாட்டு மட்டத்தில் முழு சுமை மேலாண்மை;
  • சேவையகத்தில் உள்ள உள்ளூர் கோப்புகளைப் படிப்பதற்கான அணுகல் (கோப்பு:/// திட்டம் ஆதரிக்கப்பட்டால்);
  • மற்றும் மிகவும்.

ஓபன்ஸ்டாக்கில் ஒரு SSRF பாதிப்பு நீண்ட காலமாக அறியப்படுகிறது, இது "குருடு" இயல்பு: நீங்கள் சேவையகத்தைத் தொடர்பு கொள்ளும்போது, ​​அதிலிருந்து நீங்கள் பதிலைப் பெறவில்லை, ஆனால் கோரிக்கையின் முடிவைப் பொறுத்து பல்வேறு வகையான பிழைகள்/தாமதங்களைப் பெறுவீர்கள். . இதன் அடிப்படையில், நீங்கள் உள் நெட்வொர்க்கில் உள்ள ஹோஸ்ட்களில் போர்ட் ஸ்கேன் செய்யலாம், அதைத் தொடர்ந்து வரும் அனைத்து விளைவுகளும் குறைத்து மதிப்பிடப்படக்கூடாது. எடுத்துக்காட்டாக, கார்ப்பரேட் நெட்வொர்க்கில் இருந்து மட்டுமே அணுகக்கூடிய பின்-ஆஃபீஸ் API ஒரு தயாரிப்புக்கு இருக்கலாம். ஆவணங்களுடன் (உள்ளே உள்ளவர்களைப் பற்றி மறந்துவிடாதீர்கள்), தாக்குபவர் SSRF ஐப் பயன்படுத்தி உள் முறைகளை அணுகலாம். எடுத்துக்காட்டாக, பயனுள்ள URLகளின் தோராயமான பட்டியலை நீங்கள் எப்படியாவது பெற முடிந்தால், SSRF ஐப் பயன்படுத்தி அவற்றைப் பயன்படுத்தி ஒரு கோரிக்கையைச் செயல்படுத்தலாம் - ஒப்பீட்டளவில், கணக்கிலிருந்து கணக்கிற்கு பணத்தை மாற்றவும் அல்லது வரம்புகளை மாற்றவும்.

OpenStack இல் SSRF பாதிப்பு கண்டறியப்படுவது இது முதல் முறை அல்ல. கடந்த காலத்தில், நேரடி இணைப்பிலிருந்து VM ISO படங்களைப் பதிவிறக்குவது சாத்தியமாக இருந்தது, இது இதே போன்ற விளைவுகளுக்கு வழிவகுத்தது. இந்த அம்சம் இப்போது OpenStack இலிருந்து அகற்றப்பட்டது. வெளிப்படையாக, சமூகம் இது பிரச்சனைக்கு எளிமையான மற்றும் நம்பகமான தீர்வாகக் கருதியது.

மற்றும் உள்ளே இந்த HackerOne சேவையில் இருந்து பொதுவில் கிடைக்கும் அறிக்கை (h1), நிகழ்வு மெட்டாடேட்டாவைப் படிக்கும் திறன் கொண்ட இனி கண்மூடித்தனமான SSRF சுரண்டல் முழு Shopify உள்கட்டமைப்பிற்கான ரூட் அணுகலுக்கு வழிவகுக்கிறது.

MCS இல், SSRF பாதிப்புகள் ஒரே மாதிரியான செயல்பாட்டுடன் இரண்டு இடங்களில் கண்டுபிடிக்கப்பட்டன, ஆனால் ஃபயர்வால்கள் மற்றும் பிற பாதுகாப்புகள் காரணமாக அவற்றைப் பயன்படுத்துவது கிட்டத்தட்ட சாத்தியமற்றது. ஒருவழியாக, சமூகத்திற்காக காத்திருக்காமல், MCS குழு எப்படியும் இந்தப் பிரச்சனையைச் சரிசெய்தது.

ஷெல்களை ஏற்றுவதற்குப் பதிலாக XSS

நூற்றுக்கணக்கான ஆய்வுகள் எழுதப்பட்டாலும், வருடா வருடம் XSS (கிராஸ்-சைட் ஸ்கிரிப்டிங்) தாக்குதல் இன்னும் அதிகமாக உள்ளது அடிக்கடி சந்திக்கும் இணைய பாதிப்பு (அல்லது தாக்குதல்?).

எந்தவொரு பாதுகாப்பு ஆராய்ச்சியாளருக்கும் கோப்பு பதிவேற்றங்கள் மிகவும் பிடித்தமான இடமாகும். நீங்கள் ஒரு தன்னிச்சையான ஸ்கிரிப்டை (asp/jsp/php) ஏற்றலாம் மற்றும் OS கட்டளைகளை செயல்படுத்தலாம், பென்டெஸ்டர்களின் சொற்களில் - "லோட் ஷெல்". ஆனால் இத்தகைய பாதிப்புகளின் புகழ் இரு திசைகளிலும் செயல்படுகிறது: அவை நினைவில் வைக்கப்படுகின்றன மற்றும் அவற்றுக்கு எதிராக தீர்வுகள் உருவாக்கப்படுகின்றன, இதனால் சமீபத்தில் "ஒரு ஷெல் ஏற்றுதல்" நிகழ்தகவு பூஜ்ஜியமாக உள்ளது.

தாக்குதல் குழு (டிஜிட்டல் செக்யூரிட்டியால் பிரதிநிதித்துவம் செய்யப்பட்டது) அதிர்ஷ்டசாலி. சரி, சர்வர் பக்கத்தில் உள்ள MCS இல் பதிவிறக்கம் செய்யப்பட்ட கோப்புகளின் உள்ளடக்கங்கள் சரிபார்க்கப்பட்டன, படங்கள் மட்டுமே அனுமதிக்கப்படுகின்றன. ஆனால் எஸ்.வி.ஜியும் ஒரு படம்தான். SVG படங்கள் எப்படி ஆபத்தானவை? ஏனெனில் நீங்கள் ஜாவாஸ்கிரிப்ட் துணுக்குகளை அவற்றில் உட்பொதிக்கலாம்!

பதிவிறக்கம் செய்யப்பட்ட கோப்புகள் MCS சேவையின் அனைத்து பயனர்களுக்கும் கிடைக்கின்றன, அதாவது மற்ற கிளவுட் பயனர்களை, அதாவது நிர்வாகிகளைத் தாக்க முடியும்.

MCS கிளவுட் தளத்தின் பாதுகாப்பு தணிக்கை
ஃபிஷிங் உள்நுழைவு படிவத்தில் XSS தாக்குதலின் எடுத்துக்காட்டு

XSS தாக்குதல் சுரண்டலின் எடுத்துக்காட்டுகள்:

  • Зачем пытаться украсть сессию (тем более, что сейчас везде HTTP-Only cookies, защищённые от краж с помощью js-скриптов), если загруженный скрипт может сразу обращаться к API ресурса? В этом случае полезная нагрузка может через XHR-запросы поменять конфигурацию сервера, например, добавить открытый SSH-ключ злоумышленника и получить SSH-доступ к серверу.
  • CSP கொள்கை (உள்ளடக்கப் பாதுகாப்புக் கொள்கை) JavaScript உட்செலுத்தப்படுவதைத் தடைசெய்தால், தாக்குபவர் அது இல்லாமலேயே தப்பிக்க முடியும். தூய HTML ஐப் பயன்படுத்தி, தளத்திற்கான போலி உள்நுழைவு படிவத்தை உருவாக்கி, இந்த மேம்பட்ட ஃபிஷிங் மூலம் நிர்வாகியின் கடவுச்சொல்லைத் திருடவும்: பயனருக்கான ஃபிஷிங் பக்கம் அதே URL இல் முடிவடைகிறது, மேலும் பயனர் அதைக் கண்டறிவது மிகவும் கடினம்.
  • இறுதியாக, தாக்குபவர் ஏற்பாடு செய்யலாம் வாடிக்கையாளர் DoS — 4 KB ஐ விட பெரிய குக்கீகளை அமைக்கவும். பயனர் ஒருமுறை மட்டுமே இணைப்பைத் திறக்க வேண்டும், மேலும் உலாவியை குறிப்பாக சுத்தம் செய்ய பயனர் நினைக்கும் வரை முழு தளமும் அணுக முடியாததாகிவிடும்: பெரும்பாலான சந்தர்ப்பங்களில், வலை சேவையகம் அத்தகைய கிளையண்டை ஏற்க மறுக்கும்.

கண்டறியப்பட்ட மற்றொரு XSS இன் உதாரணத்தைப் பார்ப்போம், இந்த முறை மிகவும் புத்திசாலித்தனமான சுரண்டலுடன். MCS சேவையானது ஃபயர்வால் அமைப்புகளை குழுக்களாக இணைக்க உங்களை அனுமதிக்கிறது. குழுவின் பெயர் XSS கண்டறியப்பட்டது. அதன் தனித்தன்மை என்னவென்றால், திசையன் உடனடியாகத் தூண்டப்படவில்லை, விதிகளின் பட்டியலைப் பார்க்கும்போது அல்ல, ஆனால் ஒரு குழுவை நீக்கும் போது:

MCS கிளவுட் தளத்தின் பாதுகாப்பு தணிக்கை

அதாவது, காட்சி பின்வருமாறு மாறியது: தாக்குபவர் பெயரில் "லோட்" உடன் ஃபயர்வால் விதியை உருவாக்குகிறார், நிர்வாகி சிறிது நேரம் கழித்து அதைக் கவனித்து நீக்குதல் செயல்முறையைத் தொடங்குகிறார். இங்குதான் தீங்கிழைக்கும் JS வேலை செய்கிறது.

பதிவேற்றிய SVG படங்களில் எக்ஸ்எஸ்எஸ்ஸிலிருந்து பாதுகாக்க MCS டெவலப்பர்களுக்கு (அவற்றைத் தவிர்க்க முடியாவிட்டால்), டிஜிட்டல் பாதுகாப்புக் குழு பரிந்துரைத்தது:

  • பயனர்கள் பதிவேற்றிய கோப்புகளை "குக்கீகளுடன்" எந்த தொடர்பும் இல்லாத தனி டொமைனில் வைக்கவும். ஸ்கிரிப்ட் வேறொரு டொமைனின் சூழலில் செயல்படுத்தப்படும் மற்றும் MCS க்கு அச்சுறுத்தலாக இருக்காது.
  • சேவையகத்தின் HTTP மறுமொழியில், "உள்ளடக்கம்-அமைப்பு: இணைப்பு" தலைப்பை அனுப்பவும். பின்னர் கோப்புகள் உலாவியால் பதிவிறக்கம் செய்யப்பட்டு செயல்படுத்தப்படாது.

கூடுதலாக, XSS சுரண்டலின் அபாயங்களைக் குறைக்க டெவலப்பர்களுக்கு இப்போது பல வழிகள் உள்ளன:

  • "HTTP மட்டும்" கொடியைப் பயன்படுத்தி, நீங்கள் அமர்வு "குக்கீகள்" தலைப்புகளை தீங்கிழைக்கும் ஜாவாஸ்கிரிப்ட் அணுக முடியாதபடி செய்யலாம்;
  • சரியாக செயல்படுத்தப்பட்ட CSP கொள்கை XSS ஐப் பயன்படுத்திக் கொள்வதைத் தாக்குபவர்களுக்கு மிகவும் கடினமாக்கும்;
  • கோணல் அல்லது ரியாக்ட் போன்ற நவீன டெம்ப்ளேட் என்ஜின்கள் பயனர் தரவை பயனரின் உலாவியில் வெளியிடும் முன் தானாகவே சுத்தப்படுத்துகிறது.

இரண்டு காரணி அங்கீகார பாதிப்புகள்

கணக்கின் பாதுகாப்பை மேம்படுத்த, பயனர்கள் எப்போதும் 2FA (இரண்டு காரணி அங்கீகாரம்) செயல்படுத்த அறிவுறுத்தப்படுகிறார்கள். உண்மையில், பயனரின் நற்சான்றிதழ்கள் சமரசம் செய்யப்பட்டிருந்தால், தாக்குபவர் ஒரு சேவைக்கான அணுகலைப் பெறுவதைத் தடுக்க இது ஒரு சிறந்த வழியாகும்.

ஆனால் இரண்டாவது அங்கீகாரக் காரணியைப் பயன்படுத்துவது எப்போதும் கணக்குப் பாதுகாப்பிற்கு உத்தரவாதம் அளிக்குமா? 2FA செயல்படுத்துவதில் பின்வரும் பாதுகாப்புச் சிக்கல்கள் உள்ளன:

  • OTP குறியீட்டின் ப்ரூட்-ஃபோர்ஸ் தேடல் (ஒரு முறை குறியீடுகள்). செயல்பாட்டின் எளிமை இருந்தபோதிலும், OTP ப்ரூட் ஃபோர்ஸுக்கு எதிராக பாதுகாப்பு இல்லாதது போன்ற பிழைகள் பெரிய நிறுவனங்களால் சந்திக்கப்படுகின்றன: ஸ்லாக் கேஸ், பேஸ்புக் வழக்கு.
  • பலவீனமான தலைமுறை அல்காரிதம், எடுத்துக்காட்டாக அடுத்த குறியீட்டைக் கணிக்கும் திறன்.
  • உங்கள் மொபைலில் வேறொருவரின் OTPயைக் கோரும் திறன் போன்ற தருக்கப் பிழைகள் போன்றவை அது Shopify இலிருந்து.

MCS விஷயத்தில், 2FA ஆனது Google Authenticator மற்றும் அடிப்படையில் செயல்படுத்தப்படுகிறது டியோ. நெறிமுறை ஏற்கனவே நேர-சோதனை செய்யப்பட்டுள்ளது, ஆனால் பயன்பாட்டின் பக்கத்தில் குறியீடு சரிபார்ப்பைச் செயல்படுத்துவது சரிபார்க்கத்தக்கது.

MCS 2FA பல இடங்களில் பயன்படுத்தப்படுகிறது:

  • பயனரை அங்கீகரிக்கும் போது. ப்ரூட் ஃபோர்ஸுக்கு எதிராக பாதுகாப்பு உள்ளது: பயனர் ஒரு முறை கடவுச்சொல்லை உள்ளிட சில முயற்சிகள் மட்டுமே உள்ளது, பின்னர் உள்ளீடு சிறிது நேரம் தடுக்கப்படும். இது OTPயின் முரட்டுத்தனமான தேர்வின் சாத்தியத்தைத் தடுக்கிறது.
  • 2FA ஐச் செய்ய ஆஃப்லைன் காப்புப் பிரதி குறியீடுகளை உருவாக்கும் போது, ​​அத்துடன் அதை முடக்கவும். இங்கே, எந்த மிருகத்தனமான பாதுகாப்பும் செயல்படுத்தப்படவில்லை, இது உங்களுக்குக் கணக்கிற்கான கடவுச்சொல் மற்றும் செயலில் உள்ள அமர்வு இருந்தால், காப்புப் பிரதி குறியீடுகளை மீண்டும் உருவாக்க அல்லது 2FA ஐ முழுவதுமாக முடக்குவதை சாத்தியமாக்கியது.

காப்பு குறியீடுகள் OTP பயன்பாட்டால் உருவாக்கப்பட்ட அதே சரம் மதிப்புகளில் அமைந்துள்ளன என்பதைக் கருத்தில் கொண்டு, குறுகிய காலத்தில் குறியீட்டைக் கண்டுபிடிப்பதற்கான வாய்ப்பு மிக அதிகமாக இருந்தது.

MCS கிளவுட் தளத்தின் பாதுகாப்பு தணிக்கை
"Burp: Intruder" கருவியைப் பயன்படுத்தி 2FA ஐ முடக்க OTPயைத் தேர்ந்தெடுக்கும் செயல்முறை

விளைவாக

ஒட்டுமொத்தமாக, MCS ஒரு தயாரிப்பாக பாதுகாப்பானதாகத் தோன்றுகிறது. தணிக்கையின் போது, ​​கிளையன்ட் VMகள் மற்றும் அவற்றின் தரவுகளுக்கான அணுகலை பென்டெஸ்டிங் குழுவால் பெற முடியவில்லை, மேலும் கண்டறியப்பட்ட பாதிப்புகள் MCS குழுவால் விரைவாக சரி செய்யப்பட்டது.

ஆனால் இங்கே பாதுகாப்பு என்பது ஒரு தொடர்ச்சியான வேலை என்பதை கவனத்தில் கொள்ள வேண்டும். சேவைகள் நிலையானவை அல்ல, அவை தொடர்ந்து உருவாகி வருகின்றன. மேலும் பாதிப்புகள் இல்லாமல் ஒரு பொருளை முழுமையாக உருவாக்குவது சாத்தியமில்லை. ஆனால் நீங்கள் அவற்றை சரியான நேரத்தில் கண்டுபிடித்து அவை மீண்டும் நிகழும் வாய்ப்பைக் குறைக்கலாம்.

இப்போது MCS இல் குறிப்பிடப்பட்ட அனைத்து பாதிப்புகளும் ஏற்கனவே சரி செய்யப்பட்டுள்ளன. புதியவற்றின் எண்ணிக்கையை குறைந்தபட்சமாக வைத்திருக்கவும், அவர்களின் வாழ்நாளைக் குறைக்கவும், இயங்குதளக் குழு இதைத் தொடர்ந்து செய்கிறது:

ஆதாரம்: www.habr.com

கருத்தைச் சேர்