MCS క్లౌడ్ ప్లాట్‌ఫారమ్ యొక్క భద్రతా ఆడిట్

స్కైషిప్ సంధ్య సీర్‌లైట్ ద్వారా

ఏదైనా సేవను నిర్మించడం తప్పనిసరిగా భద్రతపై స్థిరమైన పనిని కలిగి ఉంటుంది. భద్రత అనేది స్థిరమైన విశ్లేషణ మరియు ఉత్పత్తి భద్రతను మెరుగుపరచడం, దుర్బలత్వాల గురించి వార్తలను పర్యవేక్షించడం మరియు మరిన్నింటిని కలిగి ఉండే నిరంతర ప్రక్రియ. ఆడిట్‌లతో సహా. ఆడిట్‌లు అంతర్గతంగా మరియు బాహ్య నిపుణులచే నిర్వహించబడతాయి, వారు ప్రాజెక్ట్‌లో మునిగిపోకుండా మరియు ఓపెన్ మైండ్ కలిగి ఉన్నందున భద్రతకు సమూలంగా సహాయం చేయగలరు.

క్లౌడ్ సేవను పరీక్షించడంలో Mail.ru క్లౌడ్ సొల్యూషన్స్ (MCS) బృందానికి సహాయం చేసిన బాహ్య నిపుణుల యొక్క అత్యంత సరళమైన వీక్షణ గురించి మరియు వారు కనుగొన్న వాటి గురించి కథనం. "బాహ్య శక్తిగా," MCS డిజిటల్ సెక్యూరిటీ కంపెనీని ఎంచుకుంది, ఇది సమాచార భద్రతా సర్కిల్‌లలో అధిక నైపుణ్యానికి ప్రసిద్ధి చెందింది. మరియు ఈ కథనంలో మేము బాహ్య ఆడిట్‌లో భాగంగా కనుగొనబడిన కొన్ని ఆసక్తికరమైన దుర్బలత్వాలను విశ్లేషిస్తాము - తద్వారా మీరు మీ స్వంత క్లౌడ్ సేవను సృష్టించినప్పుడు అదే రేక్‌ను నివారించవచ్చు.

Описание ప్రొడక్ట్

Mail.ru క్లౌడ్ సొల్యూషన్స్ (MCS) క్లౌడ్‌లో వర్చువల్ ఇన్‌ఫ్రాస్ట్రక్చర్‌ను నిర్మించడానికి ఒక వేదిక. ఇందులో IaaS, PaaS మరియు డెవలపర్‌ల కోసం రెడీమేడ్ అప్లికేషన్ ఇమేజ్‌ల మార్కెట్‌ప్లేస్ ఉన్నాయి. MCS నిర్మాణాన్ని పరిగణనలోకి తీసుకుంటే, కింది ప్రాంతాల్లో ఉత్పత్తి యొక్క భద్రతను తనిఖీ చేయడం అవసరం:

• వర్చువలైజేషన్ పర్యావరణం యొక్క అవస్థాపనను రక్షించడం: హైపర్‌వైజర్లు, రూటింగ్, ఫైర్‌వాల్‌లు;
• కస్టమర్ల వర్చువల్ ఇన్‌ఫ్రాస్ట్రక్చర్ యొక్క రక్షణ: SDNలో నెట్‌వర్క్, ప్రైవేట్ నెట్‌వర్క్‌లతో సహా ఒకదానికొకటి వేరుచేయడం;
• OpenStack మరియు దాని ఓపెన్ భాగాలు;
• మా స్వంత డిజైన్ యొక్క S3;
• IAM: రోల్ మోడల్‌తో బహుళ-అద్దెదారు ప్రాజెక్ట్‌లు;
• విజన్ (కంప్యూటర్ విజన్): చిత్రాలతో పని చేస్తున్నప్పుడు APIలు మరియు దుర్బలత్వాలు;
• వెబ్ ఇంటర్‌ఫేస్ మరియు క్లాసిక్ వెబ్ దాడులు;
• PaaS భాగాల దుర్బలత్వం;
• అన్ని భాగాల API.

బహుశా ఇది తదుపరి చరిత్రకు అవసరమైనది.

ఏ విధమైన పని జరిగింది మరియు అది ఎందుకు అవసరం?

భద్రతా ఆడిట్ అనేది వ్యక్తిగత డేటా లీకేజీకి, సున్నితమైన సమాచారాన్ని సవరించడానికి లేదా సేవ లభ్యతకు అంతరాయం కలిగించడానికి దారితీసే దుర్బలత్వాలు మరియు కాన్ఫిగరేషన్ లోపాలను గుర్తించడం లక్ష్యంగా పెట్టుకుంది.

పని సమయంలో, సగటున 1-2 నెలల పాటు కొనసాగుతుంది, ఆడిటర్లు సంభావ్య దాడి చేసేవారి చర్యలను పునరావృతం చేస్తారు మరియు ఎంచుకున్న సేవ యొక్క క్లయింట్ మరియు సర్వర్ భాగాలలో దుర్బలత్వం కోసం చూస్తారు. MCS క్లౌడ్ ప్లాట్‌ఫారమ్ యొక్క ఆడిట్ సందర్భంలో, కింది లక్ష్యాలు గుర్తించబడ్డాయి:

1. సేవలో ప్రమాణీకరణ యొక్క విశ్లేషణ. ఈ కాంపోనెంట్‌లోని దుర్బలత్వాలు వెంటనే ఇతరుల ఖాతాల్లోకి ప్రవేశించడంలో సహాయపడతాయి.
2. విభిన్న ఖాతాల మధ్య రోల్ మోడల్ మరియు యాక్సెస్ నియంత్రణను అధ్యయనం చేయడం. దాడి చేసే వ్యక్తికి, వేరొకరి వర్చువల్ మెషీన్‌కు యాక్సెస్ పొందగల సామర్థ్యం కావాల్సిన లక్ష్యం.
3. క్లయింట్ వైపు దుర్బలత్వం. XSS/CSRF/CRLF/మొదలైనవి. హానికరమైన లింక్‌ల ద్వారా ఇతర వినియోగదారులపై దాడి చేయడం సాధ్యమేనా?
4. సర్వర్ వైపు దుర్బలత్వాలు: RCE మరియు అన్ని రకాల ఇంజెక్షన్లు (SQL/XXE/SSRF మరియు మొదలైనవి). సర్వర్ దుర్బలత్వాలను కనుగొనడం సాధారణంగా చాలా కష్టం, కానీ అవి ఒకేసారి చాలా మంది వినియోగదారుల రాజీకి దారితీస్తాయి.
5. నెట్‌వర్క్ స్థాయిలో వినియోగదారు సెగ్మెంట్ ఐసోలేషన్ యొక్క విశ్లేషణ. దాడి చేసేవారి కోసం, ఐసోలేషన్ లేకపోవడం ఇతర వినియోగదారులపై దాడి ఉపరితలాన్ని బాగా పెంచుతుంది.
6. వ్యాపార లాజిక్ విశ్లేషణ. వ్యాపారాలను మోసం చేయడం మరియు ఉచితంగా వర్చువల్ మిషన్లను సృష్టించడం సాధ్యమేనా?

ఈ ప్రాజెక్ట్‌లో, “గ్రే-బాక్స్” మోడల్ ప్రకారం పని జరిగింది: ఆడిటర్‌లు సాధారణ వినియోగదారుల అధికారాలతో సేవతో సంభాషించారు, కానీ పాక్షికంగా API యొక్క సోర్స్ కోడ్‌ను కలిగి ఉన్నారు మరియు డెవలపర్‌లతో వివరాలను స్పష్టం చేసే అవకాశం ఉంది. ఇది సాధారణంగా అత్యంత అనుకూలమైనది మరియు అదే సమయంలో చాలా వాస్తవిక పని నమూనా: అంతర్గత సమాచారాన్ని ఇప్పటికీ దాడి చేసే వ్యక్తి సేకరించవచ్చు, ఇది సమయం మాత్రమే.

బలహీనతలు కనుగొనబడ్డాయి

ఆడిటర్ వివిధ పేలోడ్‌లను (దాడిని నిర్వహించడానికి ఉపయోగించే పేలోడ్) యాదృచ్ఛిక ప్రదేశాలకు పంపడం ప్రారంభించే ముందు, విషయాలు ఎలా పని చేస్తాయి మరియు ఏ కార్యాచరణ అందించబడుతుందో అర్థం చేసుకోవడం అవసరం. ఇది పనికిరాని వ్యాయామం అని అనిపించవచ్చు, ఎందుకంటే అధ్యయనం చేసిన చాలా ప్రదేశాలలో ఎటువంటి దుర్బలత్వం ఉండదు. కానీ అప్లికేషన్ యొక్క నిర్మాణం మరియు దాని ఆపరేషన్ యొక్క తర్కాన్ని అర్థం చేసుకోవడం మాత్రమే అత్యంత క్లిష్టమైన దాడి వెక్టర్లను కనుగొనడం సాధ్యం చేస్తుంది.

అనుమానాస్పదంగా అనిపించే లేదా ఏదో ఒక విధంగా ఇతరులకు చాలా భిన్నంగా ఉన్న స్థలాలను కనుగొనడం చాలా ముఖ్యం. మరియు మొదటి ప్రమాదకరమైన దుర్బలత్వం ఈ విధంగా కనుగొనబడింది.

IDOR

IDOR (అసురక్షిత డైరెక్ట్ ఆబ్జెక్ట్ రిఫరెన్స్) దుర్బలత్వాలు వ్యాపార లాజిక్‌లో అత్యంత సాధారణ దుర్బలత్వాలలో ఒకటి, ఇది యాక్సెస్ వాస్తవానికి అనుమతించబడని వస్తువులకు ప్రాప్యతను పొందేందుకు ఒకటి లేదా మరొకటి అనుమతిస్తుంది. IDOR దుర్బలత్వాలు వివిధ స్థాయిల క్లిష్టత కలిగిన వినియోగదారు గురించి సమాచారాన్ని పొందే అవకాశాన్ని సృష్టిస్తాయి.

ఈ వస్తువులకు యాక్సెస్ ఐడెంటిఫైయర్‌లను మార్చడం ద్వారా సిస్టమ్ ఆబ్జెక్ట్‌లతో (యూజర్‌లు, బ్యాంక్ ఖాతాలు, షాపింగ్ కార్ట్‌లోని అంశాలు) చర్యలను చేయడం IDOR ఎంపికలలో ఒకటి. ఇది అత్యంత అనూహ్య పరిణామాలకు దారితీస్తుంది. ఉదాహరణకు, నిధులను పంపినవారి ఖాతాను భర్తీ చేసే అవకాశం, దీని ద్వారా మీరు వాటిని ఇతర వినియోగదారుల నుండి దొంగిలించవచ్చు.

MCS విషయంలో, ఆడిటర్‌లు ఇప్పుడే నాన్-సెక్యూర్ ఐడెంటిఫైయర్‌లతో అనుబంధించబడిన IDOR దుర్బలత్వాన్ని కనుగొన్నారు. వినియోగదారు యొక్క వ్యక్తిగత ఖాతాలో, UUID ఐడెంటిఫైయర్‌లు ఏవైనా వస్తువులను యాక్సెస్ చేయడానికి ఉపయోగించబడ్డాయి, ఇది భద్రతా నిపుణులు చెప్పినట్లుగా, ఆకట్టుకునే అసురక్షిత (అంటే, బ్రూట్ ఫోర్స్ దాడుల నుండి రక్షించబడింది) అనిపించింది. కానీ నిర్దిష్ట ఎంటిటీల కోసం, అప్లికేషన్ యొక్క వినియోగదారుల గురించి సమాచారాన్ని పొందేందుకు సాధారణ ఊహాజనిత సంఖ్యలు ఉపయోగించబడుతున్నాయని కనుగొనబడింది. వినియోగదారు IDని ఒకదానితో ఒకటి మార్చడం, అభ్యర్థనను మళ్లీ పంపడం మరియు ACL (యాక్సెస్ కంట్రోల్ లిస్ట్, ప్రాసెస్‌లు మరియు యూజర్‌ల కోసం డేటా యాక్సెస్ నియమాలు)ని దాటవేయడం ద్వారా సమాచారాన్ని పొందడం సాధ్యమవుతుందని మీరు ఊహించగలరని నేను భావిస్తున్నాను.

సర్వర్ సైడ్ రిక్వెస్ట్ ఫోర్జరీ (SSRF)

ఓపెన్‌సోర్స్ ఉత్పత్తుల గురించి మంచి విషయం ఏమిటంటే, వారు ఉత్పన్నమయ్యే సమస్యల యొక్క వివరణాత్మక సాంకేతిక వివరణలతో కూడిన భారీ సంఖ్యలో ఫోరమ్‌లను కలిగి ఉన్నారు మరియు మీరు అదృష్టవంతులైతే, పరిష్కారం యొక్క వివరణ. కానీ ఈ నాణేనికి ఫ్లిప్ సైడ్ ఉంది: తెలిసిన దుర్బలత్వాలు కూడా వివరంగా వివరించబడ్డాయి. ఉదాహరణకు, OpenStack ఫోరమ్‌లో దుర్బలత్వాల గురించి అద్భుతమైన వివరణలు ఉన్నాయి [XSS] и [SSRF], కొన్ని కారణాల వల్ల ఎవరూ పరిష్కరించడానికి తొందరపడరు.

అప్లికేషన్‌ల యొక్క ఒక సాధారణ కార్యాచరణ అనేది సర్వర్‌కు లింక్‌ను పంపగల సామర్థ్యం, ​​సర్వర్ క్లిక్ చేస్తుంది (ఉదాహరణకు, పేర్కొన్న మూలం నుండి చిత్రాన్ని డౌన్‌లోడ్ చేయడానికి). భద్రతా సాధనాలు లింక్‌లను లేదా సర్వర్ నుండి వినియోగదారులకు తిరిగి వచ్చిన ప్రతిస్పందనలను ఫిల్టర్ చేయకపోతే, అటువంటి కార్యాచరణను దాడి చేసేవారు సులభంగా ఉపయోగించవచ్చు.

SSRF దుర్బలత్వాలు దాడి అభివృద్ధిని బాగా ముందుకు తీసుకెళ్లగలవు. దాడి చేసే వ్యక్తి పొందవచ్చు:

• దాడి చేయబడిన స్థానిక నెట్‌వర్క్‌కు పరిమిత ప్రాప్యత, ఉదాహరణకు, నిర్దిష్ట నెట్‌వర్క్ విభాగాల ద్వారా మరియు నిర్దిష్ట ప్రోటోకాల్‌ను ఉపయోగించడం;
• స్థానిక నెట్‌వర్క్‌కు పూర్తి ప్రాప్యత, అప్లికేషన్ స్థాయి నుండి రవాణా స్థాయికి డౌన్‌గ్రేడ్ చేయడం సాధ్యమైతే మరియు దాని ఫలితంగా, అప్లికేషన్ స్థాయిలో పూర్తి లోడ్ నిర్వహణ;
• సర్వర్‌లో స్థానిక ఫైల్‌లను చదవడానికి యాక్సెస్ (ఫైల్:/// స్కీమ్‌కు మద్దతు ఉంటే);
• మరియు మరింత.

ఓపెన్‌స్టాక్‌లో ఒక SSRF దుర్బలత్వం చాలా కాలంగా తెలుసు, ఇది "బ్లైండ్" స్వభావం కలిగి ఉంటుంది: మీరు సర్వర్‌ని సంప్రదించినప్పుడు, మీరు దాని నుండి ప్రతిస్పందనను అందుకోలేరు, కానీ అభ్యర్థన ఫలితాన్ని బట్టి మీరు వివిధ రకాల లోపాలు/ఆలస్యాన్ని స్వీకరిస్తారు. . దీని ఆధారంగా, మీరు అంతర్గత నెట్‌వర్క్‌లోని హోస్ట్‌లపై పోర్ట్ స్కాన్ చేయవచ్చు, అన్ని తదుపరి పరిణామాలతో తక్కువ అంచనా వేయకూడదు. ఉదాహరణకు, ఒక ఉత్పత్తి కార్పొరేట్ నెట్‌వర్క్ నుండి మాత్రమే యాక్సెస్ చేయగల బ్యాక్-ఆఫీస్ APIని కలిగి ఉండవచ్చు. డాక్యుమెంటేషన్‌తో (అంతర్గత వ్యక్తుల గురించి మర్చిపోవద్దు), దాడి చేసే వ్యక్తి అంతర్గత పద్ధతులను యాక్సెస్ చేయడానికి SSRFని ఉపయోగించవచ్చు. ఉదాహరణకు, మీరు ఏదో ఒకవిధంగా ఉపయోగకరమైన URLల యొక్క సుమారు జాబితాను పొందగలిగితే, SSRFని ఉపయోగించి మీరు వాటి ద్వారా వెళ్లి అభ్యర్థనను అమలు చేయవచ్చు - సాపేక్షంగా చెప్పాలంటే, ఖాతా నుండి ఖాతాకు డబ్బును బదిలీ చేయండి లేదా పరిమితులను మార్చండి.

ఓపెన్‌స్టాక్‌లో SSRF దుర్బలత్వం కనుగొనడం ఇదే మొదటిసారి కాదు. గతంలో, ప్రత్యక్ష లింక్ నుండి VM ISO చిత్రాలను డౌన్‌లోడ్ చేయడం సాధ్యమైంది, ఇది కూడా ఇలాంటి పరిణామాలకు దారితీసింది. ఈ ఫీచర్ ఇప్పుడు OpenStack నుండి తీసివేయబడింది. స్పష్టంగా, సంఘం దీనిని సమస్యకు సరళమైన మరియు అత్యంత నమ్మదగిన పరిష్కారంగా పరిగణించింది.

మరియు లో ఈ HackerOne సేవ (h1) నుండి పబ్లిక్‌గా అందుబాటులో ఉన్న నివేదిక, ఉదాహరణ మెటాడేటాను చదవగల సామర్థ్యంతో ఇకపై అంధత్వం లేని SSRF యొక్క దోపిడీ మొత్తం Shopify ఇన్‌ఫ్రాస్ట్రక్చర్‌కు రూట్ యాక్సెస్‌కు దారి తీస్తుంది.

MCSలో, SSRF దుర్బలత్వాలు ఒకే విధమైన కార్యాచరణతో రెండు ప్రదేశాలలో కనుగొనబడ్డాయి, అయితే అవి ఫైర్‌వాల్‌లు మరియు ఇతర రక్షణల కారణంగా దోపిడీ చేయడం దాదాపు అసాధ్యం. ఒక మార్గం లేదా మరొకటి, సంఘం కోసం వేచి ఉండకుండా, MCS బృందం ఈ సమస్యను ఎలాగైనా పరిష్కరించింది.

షెల్లను లోడ్ చేయడానికి బదులుగా XSS

వందలాది అధ్యయనాలు వ్రాసినప్పటికీ, సంవత్సరానికి XSS (క్రాస్-సైట్ స్క్రిప్టింగ్) దాడి ఇప్పటికీ ఎక్కువగా ఉంది తరచుగా ఎదుర్కొంటారు వెబ్ దుర్బలత్వం (లేదా దాడి?).

ఫైల్ అప్‌లోడ్‌లు ఏ భద్రతా పరిశోధకుడికైనా ఇష్టమైన ప్రదేశం. పెంటెస్టర్‌ల పరిభాషలో - “లోడ్ షెల్”లో మీరు ఏకపక్ష స్క్రిప్ట్ (asp/jsp/php) లోడ్ చేయగలరని మరియు OS ఆదేశాలను అమలు చేయగలరని తరచుగా తేలింది. కానీ అటువంటి దుర్బలత్వాల యొక్క ప్రజాదరణ రెండు దిశలలో పనిచేస్తుంది: అవి గుర్తుంచుకోబడతాయి మరియు వాటికి వ్యతిరేకంగా నివారణలు అభివృద్ధి చేయబడ్డాయి, తద్వారా ఇటీవల "షెల్ లోడ్ చేయడం" యొక్క సంభావ్యత సున్నాకి ఉంటుంది.

దాడి చేసిన బృందం (డిజిటల్ సెక్యూరిటీ ద్వారా ప్రాతినిధ్యం వహిస్తుంది) అదృష్టవంతులు. సరే, సర్వర్ వైపు ఉన్న MCSలో డౌన్‌లోడ్ చేయబడిన ఫైల్‌ల కంటెంట్‌లు తనిఖీ చేయబడ్డాయి, చిత్రాలు మాత్రమే అనుమతించబడ్డాయి. కానీ SVG కూడా ఒక చిత్రం. SVG చిత్రాలు ఎలా ప్రమాదకరంగా ఉంటాయి? ఎందుకంటే మీరు వాటిలో జావాస్క్రిప్ట్ స్నిప్పెట్‌లను పొందుపరచవచ్చు!

డౌన్‌లోడ్ చేయబడిన ఫైల్‌లు MCS సేవ యొక్క వినియోగదారులందరికీ అందుబాటులో ఉన్నాయని తేలింది, అంటే ఇతర క్లౌడ్ వినియోగదారులపై దాడి చేయడం సాధ్యమవుతుంది, అవి నిర్వాహకులు.

ఫిషింగ్ లాగిన్ ఫారమ్‌పై XSS దాడికి ఉదాహరణ

XSS దాడి దోపిడీకి ఉదాహరణలు:

• లోడ్ చేయబడిన స్క్రిప్ట్ రిసోర్స్ APIని తక్షణమే యాక్సెస్ చేయగలిగితే, సెషన్‌ను దొంగిలించడానికి ఎందుకు ప్రయత్నించాలి (ప్రత్యేకంగా HTTP-కుకీలు ప్రతిచోటా ఉన్నాయి, js స్క్రిప్ట్‌లను ఉపయోగించి దొంగతనం నుండి రక్షించబడతాయి). ఈ సందర్భంలో, పేలోడ్ సర్వర్ కాన్ఫిగరేషన్‌ను మార్చడానికి XHR అభ్యర్థనలను ఉపయోగించవచ్చు, ఉదాహరణకు, దాడి చేసేవారి పబ్లిక్ SSH కీని జోడించి, సర్వర్‌కి SSH యాక్సెస్‌ని పొందుతుంది.
• CSP విధానం (కంటెంట్ ప్రొటెక్షన్ పాలసీ) JavaScriptను ఇంజెక్ట్ చేయకుండా నిషేధిస్తే, దాడి చేసే వ్యక్తి అది లేకుండానే పొందవచ్చు. స్వచ్ఛమైన HTMLని ఉపయోగించి, సైట్ కోసం నకిలీ లాగిన్ ఫారమ్‌ను సృష్టించండి మరియు ఈ అధునాతన ఫిషింగ్ ద్వారా నిర్వాహకుని పాస్‌వర్డ్‌ను దొంగిలించండి: వినియోగదారు కోసం ఫిషింగ్ పేజీ అదే URLలో ముగుస్తుంది మరియు వినియోగదారు దానిని గుర్తించడం చాలా కష్టం.
• చివరగా, దాడి చేసే వ్యక్తి ఏర్పాట్లు చేయవచ్చు క్లయింట్ DoS — 4 KB కంటే పెద్ద కుకీలను సెట్ చేయండి. వినియోగదారు ఒక్కసారి మాత్రమే లింక్‌ను తెరవాలి మరియు వినియోగదారు ప్రత్యేకంగా బ్రౌజర్‌ను శుభ్రపరచాలని భావించే వరకు మొత్తం సైట్ ప్రాప్యత చేయబడదు: చాలా సందర్భాలలో, వెబ్ సర్వర్ అటువంటి క్లయింట్‌ను అంగీకరించడానికి నిరాకరిస్తుంది.

కనుగొనబడిన మరొక XSS యొక్క ఉదాహరణను చూద్దాం, ఈసారి మరింత తెలివైన దోపిడీతో. MCS సేవ ఫైర్‌వాల్ సెట్టింగ్‌లను సమూహాలుగా కలపడానికి మిమ్మల్ని అనుమతిస్తుంది. సమూహం పేరు XSS కనుగొనబడింది. దీని విశిష్టత ఏమిటంటే, వెక్టర్ వెంటనే ట్రిగ్గర్ చేయబడదు, నియమాల జాబితాను చూసేటప్పుడు కాదు, కానీ సమూహాన్ని తొలగించేటప్పుడు:

అంటే, దృష్టాంతం క్రింది విధంగా మారింది: దాడి చేసే వ్యక్తి పేరులో "లోడ్"తో ఫైర్‌వాల్ నియమాన్ని సృష్టిస్తాడు, నిర్వాహకుడు కొంతకాలం తర్వాత దానిని గమనించి, తొలగింపు ప్రక్రియను ప్రారంభిస్తాడు. మరియు ఇక్కడే హానికరమైన JS పనిచేస్తుంది.

అప్‌లోడ్ చేయబడిన SVG చిత్రాలలో XSS నుండి రక్షించడానికి MCS డెవలపర్‌ల కోసం (వాటిని విస్మరించలేకపోతే), డిజిటల్ సెక్యూరిటీ బృందం సిఫార్సు చేసింది:

• వినియోగదారులు అప్‌లోడ్ చేసిన ఫైల్‌లను "కుకీలు"తో సంబంధం లేని ప్రత్యేక డొమైన్‌లో ఉంచండి. స్క్రిప్ట్ వేరే డొమైన్ సందర్భంలో అమలు చేయబడుతుంది మరియు MCSకి ముప్పు కలిగించదు.
• సర్వర్ యొక్క HTTP ప్రతిస్పందనలో, “కంటెంట్-డిస్పోజిషన్: అటాచ్‌మెంట్” హెడర్‌ను పంపండి. అప్పుడు ఫైల్‌లు బ్రౌజర్ ద్వారా డౌన్‌లోడ్ చేయబడతాయి మరియు అమలు చేయబడవు.

అదనంగా, XSS దోపిడీ ప్రమాదాలను తగ్గించడానికి డెవలపర్‌లకు ఇప్పుడు అనేక మార్గాలు అందుబాటులో ఉన్నాయి:

• “HTTP మాత్రమే” ఫ్లాగ్‌ని ఉపయోగించి, మీరు సెషన్ “కుకీలు” హెడర్‌లను హానికరమైన జావాస్క్రిప్ట్‌కి యాక్సెస్ చేయలేని విధంగా చేయవచ్చు;
• సరిగ్గా అమలు చేయబడిన CSP విధానం దాడి చేసే వ్యక్తికి XSSని ఉపయోగించుకోవడం చాలా కష్టతరం చేస్తుంది;
• కోణీయ లేదా రియాక్ట్ వంటి ఆధునిక టెంప్లేట్ ఇంజిన్‌లు వినియోగదారు డేటాను వినియోగదారు బ్రౌజర్‌కు అవుట్‌పుట్ చేయడానికి ముందు స్వయంచాలకంగా శుభ్రపరుస్తాయి.

రెండు-కారకాల ప్రమాణీకరణ దుర్బలత్వాలు

ఖాతా భద్రతను మెరుగుపరచడానికి, వినియోగదారులు ఎల్లప్పుడూ 2FA (రెండు-కారకాల ప్రమాణీకరణ)ని ప్రారంభించమని సలహా ఇస్తారు. వాస్తవానికి, వినియోగదారు ఆధారాలు రాజీపడి ఉంటే, దాడి చేసే వ్యక్తి సేవకు ప్రాప్యత పొందకుండా నిరోధించడానికి ఇది ఒక ప్రభావవంతమైన మార్గం.

కానీ రెండవ ప్రామాణీకరణ కారకాన్ని ఉపయోగించడం ఎల్లప్పుడూ ఖాతా భద్రతకు హామీ ఇస్తుందా? 2FA అమలులో క్రింది భద్రతా సమస్యలు ఉన్నాయి:

• OTP కోడ్ యొక్క బ్రూట్-ఫోర్స్ శోధన (వన్-టైమ్ కోడ్‌లు). ఆపరేషన్ యొక్క సరళత ఉన్నప్పటికీ, OTP బ్రూట్ ఫోర్స్ నుండి రక్షణ లేకపోవడం వంటి లోపాలు కూడా పెద్ద కంపెనీలకు ఎదురవుతాయి: స్లాక్ కేసు, ఫేస్బుక్ కేసు.
• బలహీనమైన తరం అల్గోరిథం, ఉదాహరణకు తదుపరి కోడ్‌ను అంచనా వేయగల సామర్థ్యం.
• మీ ఫోన్‌లో వేరొకరి OTPని అభ్యర్థించగల సామర్థ్యం వంటి లాజికల్ ఎర్రర్‌లు ఇది Shopify నుండి.

MCS విషయంలో, 2FA Google Authenticator ఆధారంగా అమలు చేయబడుతుంది మరియు యుగళం. ప్రోటోకాల్ ఇప్పటికే సమయం-పరీక్షించబడింది, అయితే అప్లికేషన్ వైపు కోడ్ ధృవీకరణ అమలును తనిఖీ చేయడం విలువ.

MCS 2FA అనేక ప్రదేశాలలో ఉపయోగించబడుతుంది:

• వినియోగదారుని ప్రమాణీకరించేటప్పుడు. బ్రూట్ ఫోర్స్ నుండి రక్షణ ఉంది: వినియోగదారు ఒక-పర్యాయ పాస్‌వర్డ్‌ను నమోదు చేయడానికి కొన్ని ప్రయత్నాలను మాత్రమే కలిగి ఉంటారు, ఆ తర్వాత ఇన్‌పుట్ కొంతకాలం బ్లాక్ చేయబడుతుంది. ఇది OTP యొక్క బ్రూట్-ఫోర్స్ ఎంపిక యొక్క అవకాశాన్ని బ్లాక్ చేస్తుంది.
• 2FAని నిర్వహించడానికి ఆఫ్‌లైన్ బ్యాకప్ కోడ్‌లను రూపొందించేటప్పుడు, అలాగే దానిని నిలిపివేయండి. ఇక్కడ, బ్రూట్ ఫోర్స్ రక్షణ అమలు చేయబడలేదు, దీని వలన మీరు ఖాతా కోసం పాస్‌వర్డ్ మరియు సక్రియ సెషన్‌ని కలిగి ఉంటే, బ్యాకప్ కోడ్‌లను పునరుత్పత్తి చేయడం లేదా 2FAని పూర్తిగా నిలిపివేయడం సాధ్యమైంది.

బ్యాకప్ కోడ్‌లు OTP అప్లికేషన్ ద్వారా రూపొందించబడిన స్ట్రింగ్ విలువల శ్రేణిలో ఉన్నాయని పరిగణనలోకి తీసుకుంటే, తక్కువ సమయంలో కోడ్‌ను కనుగొనే అవకాశం చాలా ఎక్కువగా ఉంది.

“Burp: Intruder” సాధనాన్ని ఉపయోగించి 2FAని నిలిపివేయడానికి OTPని ఎంచుకునే ప్రక్రియ

ఫలితంగా

మొత్తంమీద, MCS ఒక ఉత్పత్తిగా సురక్షితమైనదిగా కనిపిస్తుంది. ఆడిట్ సమయంలో, పెంటెస్టింగ్ బృందం క్లయింట్ VMలు మరియు వాటి డేటాకు యాక్సెస్‌ను పొందలేకపోయింది మరియు కనుగొనబడిన దుర్బలత్వాలను MCS బృందం త్వరగా సరిదిద్దింది.

కానీ ఇక్కడ భద్రత అనేది నిరంతర పని అని గమనించడం ముఖ్యం. సేవలు స్థిరంగా ఉండవు, అవి నిరంతరం అభివృద్ధి చెందుతూనే ఉంటాయి. మరియు హాని లేకుండా ఉత్పత్తిని పూర్తిగా అభివృద్ధి చేయడం అసాధ్యం. కానీ మీరు వాటిని సకాలంలో కనుగొనవచ్చు మరియు అవి పునరావృతమయ్యే అవకాశాన్ని తగ్గించవచ్చు.

ఇప్పుడు MCSలో పేర్కొన్న అన్ని దుర్బలత్వాలు ఇప్పటికే పరిష్కరించబడ్డాయి. మరియు కొత్త వాటి సంఖ్యను కనిష్టంగా ఉంచడానికి మరియు వారి జీవితకాలాన్ని తగ్గించడానికి, ప్లాట్‌ఫారమ్ బృందం దీన్ని కొనసాగిస్తుంది:

• బాహ్య సంస్థలచే క్రమం తప్పకుండా తనిఖీలు నిర్వహించడం;
• మద్దతు మరియు భాగస్వామ్యం అభివృద్ధి Mail.ru గ్రూప్ బగ్ బౌంటీ ప్రోగ్రామ్‌లో;
• భద్రతలో పాల్గొంటారు. 🙂

మూలం: www.habr.com