ఏదైనా సేవను నిర్మించడం తప్పనిసరిగా భద్రతపై స్థిరమైన పనిని కలిగి ఉంటుంది. భద్రత అనేది స్థిరమైన విశ్లేషణ మరియు ఉత్పత్తి భద్రతను మెరుగుపరచడం, దుర్బలత్వాల గురించి వార్తలను పర్యవేక్షించడం మరియు మరిన్నింటిని కలిగి ఉండే నిరంతర ప్రక్రియ. ఆడిట్లతో సహా. ఆడిట్లు అంతర్గతంగా మరియు బాహ్య నిపుణులచే నిర్వహించబడతాయి, వారు ప్రాజెక్ట్లో మునిగిపోకుండా మరియు ఓపెన్ మైండ్ కలిగి ఉన్నందున భద్రతకు సమూలంగా సహాయం చేయగలరు.
క్లౌడ్ సేవను పరీక్షించడంలో Mail.ru క్లౌడ్ సొల్యూషన్స్ (MCS) బృందానికి సహాయం చేసిన బాహ్య నిపుణుల యొక్క అత్యంత సరళమైన వీక్షణ గురించి మరియు వారు కనుగొన్న వాటి గురించి కథనం. "బాహ్య శక్తిగా," MCS డిజిటల్ సెక్యూరిటీ కంపెనీని ఎంచుకుంది, ఇది సమాచార భద్రతా సర్కిల్లలో అధిక నైపుణ్యానికి ప్రసిద్ధి చెందింది. మరియు ఈ కథనంలో మేము బాహ్య ఆడిట్లో భాగంగా కనుగొనబడిన కొన్ని ఆసక్తికరమైన దుర్బలత్వాలను విశ్లేషిస్తాము - తద్వారా మీరు మీ స్వంత క్లౌడ్ సేవను సృష్టించినప్పుడు అదే రేక్ను నివారించవచ్చు.
Описание ప్రొడక్ట్
Mail.ru క్లౌడ్ సొల్యూషన్స్ (MCS) క్లౌడ్లో వర్చువల్ ఇన్ఫ్రాస్ట్రక్చర్ను నిర్మించడానికి ఒక వేదిక. ఇందులో IaaS, PaaS మరియు డెవలపర్ల కోసం రెడీమేడ్ అప్లికేషన్ ఇమేజ్ల మార్కెట్ప్లేస్ ఉన్నాయి. MCS నిర్మాణాన్ని పరిగణనలోకి తీసుకుంటే, కింది ప్రాంతాల్లో ఉత్పత్తి యొక్క భద్రతను తనిఖీ చేయడం అవసరం:
వర్చువలైజేషన్ పర్యావరణం యొక్క అవస్థాపనను రక్షించడం: హైపర్వైజర్లు, రూటింగ్, ఫైర్వాల్లు;
కస్టమర్ల వర్చువల్ ఇన్ఫ్రాస్ట్రక్చర్ యొక్క రక్షణ: SDNలో నెట్వర్క్, ప్రైవేట్ నెట్వర్క్లతో సహా ఒకదానికొకటి వేరుచేయడం;
OpenStack మరియు దాని ఓపెన్ భాగాలు;
మా స్వంత డిజైన్ యొక్క S3;
IAM: రోల్ మోడల్తో బహుళ-అద్దెదారు ప్రాజెక్ట్లు;
విజన్ (కంప్యూటర్ విజన్): చిత్రాలతో పని చేస్తున్నప్పుడు APIలు మరియు దుర్బలత్వాలు;
వెబ్ ఇంటర్ఫేస్ మరియు క్లాసిక్ వెబ్ దాడులు;
PaaS భాగాల దుర్బలత్వం;
అన్ని భాగాల API.
బహుశా ఇది తదుపరి చరిత్రకు అవసరమైనది.
ఏ విధమైన పని జరిగింది మరియు అది ఎందుకు అవసరం?
భద్రతా ఆడిట్ అనేది వ్యక్తిగత డేటా లీకేజీకి, సున్నితమైన సమాచారాన్ని సవరించడానికి లేదా సేవ లభ్యతకు అంతరాయం కలిగించడానికి దారితీసే దుర్బలత్వాలు మరియు కాన్ఫిగరేషన్ లోపాలను గుర్తించడం లక్ష్యంగా పెట్టుకుంది.
పని సమయంలో, సగటున 1-2 నెలల పాటు కొనసాగుతుంది, ఆడిటర్లు సంభావ్య దాడి చేసేవారి చర్యలను పునరావృతం చేస్తారు మరియు ఎంచుకున్న సేవ యొక్క క్లయింట్ మరియు సర్వర్ భాగాలలో దుర్బలత్వం కోసం చూస్తారు. MCS క్లౌడ్ ప్లాట్ఫారమ్ యొక్క ఆడిట్ సందర్భంలో, కింది లక్ష్యాలు గుర్తించబడ్డాయి:
సేవలో ప్రమాణీకరణ యొక్క విశ్లేషణ. ఈ కాంపోనెంట్లోని దుర్బలత్వాలు వెంటనే ఇతరుల ఖాతాల్లోకి ప్రవేశించడంలో సహాయపడతాయి.
విభిన్న ఖాతాల మధ్య రోల్ మోడల్ మరియు యాక్సెస్ నియంత్రణను అధ్యయనం చేయడం. దాడి చేసే వ్యక్తికి, వేరొకరి వర్చువల్ మెషీన్కు యాక్సెస్ పొందగల సామర్థ్యం కావాల్సిన లక్ష్యం.
క్లయింట్ వైపు దుర్బలత్వం. XSS/CSRF/CRLF/మొదలైనవి. హానికరమైన లింక్ల ద్వారా ఇతర వినియోగదారులపై దాడి చేయడం సాధ్యమేనా?
సర్వర్ వైపు దుర్బలత్వాలు: RCE మరియు అన్ని రకాల ఇంజెక్షన్లు (SQL/XXE/SSRF మరియు మొదలైనవి). సర్వర్ దుర్బలత్వాలను కనుగొనడం సాధారణంగా చాలా కష్టం, కానీ అవి ఒకేసారి చాలా మంది వినియోగదారుల రాజీకి దారితీస్తాయి.
నెట్వర్క్ స్థాయిలో వినియోగదారు సెగ్మెంట్ ఐసోలేషన్ యొక్క విశ్లేషణ. దాడి చేసేవారి కోసం, ఐసోలేషన్ లేకపోవడం ఇతర వినియోగదారులపై దాడి ఉపరితలాన్ని బాగా పెంచుతుంది.
వ్యాపార లాజిక్ విశ్లేషణ. వ్యాపారాలను మోసం చేయడం మరియు ఉచితంగా వర్చువల్ మిషన్లను సృష్టించడం సాధ్యమేనా?
ఈ ప్రాజెక్ట్లో, “గ్రే-బాక్స్” మోడల్ ప్రకారం పని జరిగింది: ఆడిటర్లు సాధారణ వినియోగదారుల అధికారాలతో సేవతో సంభాషించారు, కానీ పాక్షికంగా API యొక్క సోర్స్ కోడ్ను కలిగి ఉన్నారు మరియు డెవలపర్లతో వివరాలను స్పష్టం చేసే అవకాశం ఉంది. ఇది సాధారణంగా అత్యంత అనుకూలమైనది మరియు అదే సమయంలో చాలా వాస్తవిక పని నమూనా: అంతర్గత సమాచారాన్ని ఇప్పటికీ దాడి చేసే వ్యక్తి సేకరించవచ్చు, ఇది సమయం మాత్రమే.
బలహీనతలు కనుగొనబడ్డాయి
ఆడిటర్ వివిధ పేలోడ్లను (దాడిని నిర్వహించడానికి ఉపయోగించే పేలోడ్) యాదృచ్ఛిక ప్రదేశాలకు పంపడం ప్రారంభించే ముందు, విషయాలు ఎలా పని చేస్తాయి మరియు ఏ కార్యాచరణ అందించబడుతుందో అర్థం చేసుకోవడం అవసరం. ఇది పనికిరాని వ్యాయామం అని అనిపించవచ్చు, ఎందుకంటే అధ్యయనం చేసిన చాలా ప్రదేశాలలో ఎటువంటి దుర్బలత్వం ఉండదు. కానీ అప్లికేషన్ యొక్క నిర్మాణం మరియు దాని ఆపరేషన్ యొక్క తర్కాన్ని అర్థం చేసుకోవడం మాత్రమే అత్యంత క్లిష్టమైన దాడి వెక్టర్లను కనుగొనడం సాధ్యం చేస్తుంది.
అనుమానాస్పదంగా అనిపించే లేదా ఏదో ఒక విధంగా ఇతరులకు చాలా భిన్నంగా ఉన్న స్థలాలను కనుగొనడం చాలా ముఖ్యం. మరియు మొదటి ప్రమాదకరమైన దుర్బలత్వం ఈ విధంగా కనుగొనబడింది.
IDOR
IDOR (అసురక్షిత డైరెక్ట్ ఆబ్జెక్ట్ రిఫరెన్స్) దుర్బలత్వాలు వ్యాపార లాజిక్లో అత్యంత సాధారణ దుర్బలత్వాలలో ఒకటి, ఇది యాక్సెస్ వాస్తవానికి అనుమతించబడని వస్తువులకు ప్రాప్యతను పొందేందుకు ఒకటి లేదా మరొకటి అనుమతిస్తుంది. IDOR దుర్బలత్వాలు వివిధ స్థాయిల క్లిష్టత కలిగిన వినియోగదారు గురించి సమాచారాన్ని పొందే అవకాశాన్ని సృష్టిస్తాయి.
ఈ వస్తువులకు యాక్సెస్ ఐడెంటిఫైయర్లను మార్చడం ద్వారా సిస్టమ్ ఆబ్జెక్ట్లతో (యూజర్లు, బ్యాంక్ ఖాతాలు, షాపింగ్ కార్ట్లోని అంశాలు) చర్యలను చేయడం IDOR ఎంపికలలో ఒకటి. ఇది అత్యంత అనూహ్య పరిణామాలకు దారితీస్తుంది. ఉదాహరణకు, నిధులను పంపినవారి ఖాతాను భర్తీ చేసే అవకాశం, దీని ద్వారా మీరు వాటిని ఇతర వినియోగదారుల నుండి దొంగిలించవచ్చు.
MCS విషయంలో, ఆడిటర్లు ఇప్పుడే నాన్-సెక్యూర్ ఐడెంటిఫైయర్లతో అనుబంధించబడిన IDOR దుర్బలత్వాన్ని కనుగొన్నారు. వినియోగదారు యొక్క వ్యక్తిగత ఖాతాలో, UUID ఐడెంటిఫైయర్లు ఏవైనా వస్తువులను యాక్సెస్ చేయడానికి ఉపయోగించబడ్డాయి, ఇది భద్రతా నిపుణులు చెప్పినట్లుగా, ఆకట్టుకునే అసురక్షిత (అంటే, బ్రూట్ ఫోర్స్ దాడుల నుండి రక్షించబడింది) అనిపించింది. కానీ నిర్దిష్ట ఎంటిటీల కోసం, అప్లికేషన్ యొక్క వినియోగదారుల గురించి సమాచారాన్ని పొందేందుకు సాధారణ ఊహాజనిత సంఖ్యలు ఉపయోగించబడుతున్నాయని కనుగొనబడింది. వినియోగదారు IDని ఒకదానితో ఒకటి మార్చడం, అభ్యర్థనను మళ్లీ పంపడం మరియు ACL (యాక్సెస్ కంట్రోల్ లిస్ట్, ప్రాసెస్లు మరియు యూజర్ల కోసం డేటా యాక్సెస్ నియమాలు)ని దాటవేయడం ద్వారా సమాచారాన్ని పొందడం సాధ్యమవుతుందని మీరు ఊహించగలరని నేను భావిస్తున్నాను.
సర్వర్ సైడ్ రిక్వెస్ట్ ఫోర్జరీ (SSRF)
ఓపెన్సోర్స్ ఉత్పత్తుల గురించి మంచి విషయం ఏమిటంటే, వారు ఉత్పన్నమయ్యే సమస్యల యొక్క వివరణాత్మక సాంకేతిక వివరణలతో కూడిన భారీ సంఖ్యలో ఫోరమ్లను కలిగి ఉన్నారు మరియు మీరు అదృష్టవంతులైతే, పరిష్కారం యొక్క వివరణ. కానీ ఈ నాణేనికి ఫ్లిప్ సైడ్ ఉంది: తెలిసిన దుర్బలత్వాలు కూడా వివరంగా వివరించబడ్డాయి. ఉదాహరణకు, OpenStack ఫోరమ్లో దుర్బలత్వాల గురించి అద్భుతమైన వివరణలు ఉన్నాయి [XSS] и [SSRF], కొన్ని కారణాల వల్ల ఎవరూ పరిష్కరించడానికి తొందరపడరు.
అప్లికేషన్ల యొక్క ఒక సాధారణ కార్యాచరణ అనేది సర్వర్కు లింక్ను పంపగల సామర్థ్యం, సర్వర్ క్లిక్ చేస్తుంది (ఉదాహరణకు, పేర్కొన్న మూలం నుండి చిత్రాన్ని డౌన్లోడ్ చేయడానికి). భద్రతా సాధనాలు లింక్లను లేదా సర్వర్ నుండి వినియోగదారులకు తిరిగి వచ్చిన ప్రతిస్పందనలను ఫిల్టర్ చేయకపోతే, అటువంటి కార్యాచరణను దాడి చేసేవారు సులభంగా ఉపయోగించవచ్చు.
SSRF దుర్బలత్వాలు దాడి అభివృద్ధిని బాగా ముందుకు తీసుకెళ్లగలవు. దాడి చేసే వ్యక్తి పొందవచ్చు:
దాడి చేయబడిన స్థానిక నెట్వర్క్కు పరిమిత ప్రాప్యత, ఉదాహరణకు, నిర్దిష్ట నెట్వర్క్ విభాగాల ద్వారా మరియు నిర్దిష్ట ప్రోటోకాల్ను ఉపయోగించడం;
స్థానిక నెట్వర్క్కు పూర్తి ప్రాప్యత, అప్లికేషన్ స్థాయి నుండి రవాణా స్థాయికి డౌన్గ్రేడ్ చేయడం సాధ్యమైతే మరియు దాని ఫలితంగా, అప్లికేషన్ స్థాయిలో పూర్తి లోడ్ నిర్వహణ;
సర్వర్లో స్థానిక ఫైల్లను చదవడానికి యాక్సెస్ (ఫైల్:/// స్కీమ్కు మద్దతు ఉంటే);
మరియు మరింత.
ఓపెన్స్టాక్లో ఒక SSRF దుర్బలత్వం చాలా కాలంగా తెలుసు, ఇది "బ్లైండ్" స్వభావం కలిగి ఉంటుంది: మీరు సర్వర్ని సంప్రదించినప్పుడు, మీరు దాని నుండి ప్రతిస్పందనను అందుకోలేరు, కానీ అభ్యర్థన ఫలితాన్ని బట్టి మీరు వివిధ రకాల లోపాలు/ఆలస్యాన్ని స్వీకరిస్తారు. . దీని ఆధారంగా, మీరు అంతర్గత నెట్వర్క్లోని హోస్ట్లపై పోర్ట్ స్కాన్ చేయవచ్చు, అన్ని తదుపరి పరిణామాలతో తక్కువ అంచనా వేయకూడదు. ఉదాహరణకు, ఒక ఉత్పత్తి కార్పొరేట్ నెట్వర్క్ నుండి మాత్రమే యాక్సెస్ చేయగల బ్యాక్-ఆఫీస్ APIని కలిగి ఉండవచ్చు. డాక్యుమెంటేషన్తో (అంతర్గత వ్యక్తుల గురించి మర్చిపోవద్దు), దాడి చేసే వ్యక్తి అంతర్గత పద్ధతులను యాక్సెస్ చేయడానికి SSRFని ఉపయోగించవచ్చు. ఉదాహరణకు, మీరు ఏదో ఒకవిధంగా ఉపయోగకరమైన URLల యొక్క సుమారు జాబితాను పొందగలిగితే, SSRFని ఉపయోగించి మీరు వాటి ద్వారా వెళ్లి అభ్యర్థనను అమలు చేయవచ్చు - సాపేక్షంగా చెప్పాలంటే, ఖాతా నుండి ఖాతాకు డబ్బును బదిలీ చేయండి లేదా పరిమితులను మార్చండి.
ఓపెన్స్టాక్లో SSRF దుర్బలత్వం కనుగొనడం ఇదే మొదటిసారి కాదు. గతంలో, ప్రత్యక్ష లింక్ నుండి VM ISO చిత్రాలను డౌన్లోడ్ చేయడం సాధ్యమైంది, ఇది కూడా ఇలాంటి పరిణామాలకు దారితీసింది. ఈ ఫీచర్ ఇప్పుడు OpenStack నుండి తీసివేయబడింది. స్పష్టంగా, సంఘం దీనిని సమస్యకు సరళమైన మరియు అత్యంత నమ్మదగిన పరిష్కారంగా పరిగణించింది.
మరియు లో ఈ HackerOne సేవ (h1) నుండి పబ్లిక్గా అందుబాటులో ఉన్న నివేదిక, ఉదాహరణ మెటాడేటాను చదవగల సామర్థ్యంతో ఇకపై అంధత్వం లేని SSRF యొక్క దోపిడీ మొత్తం Shopify ఇన్ఫ్రాస్ట్రక్చర్కు రూట్ యాక్సెస్కు దారి తీస్తుంది.
MCSలో, SSRF దుర్బలత్వాలు ఒకే విధమైన కార్యాచరణతో రెండు ప్రదేశాలలో కనుగొనబడ్డాయి, అయితే అవి ఫైర్వాల్లు మరియు ఇతర రక్షణల కారణంగా దోపిడీ చేయడం దాదాపు అసాధ్యం. ఒక మార్గం లేదా మరొకటి, సంఘం కోసం వేచి ఉండకుండా, MCS బృందం ఈ సమస్యను ఎలాగైనా పరిష్కరించింది.
షెల్లను లోడ్ చేయడానికి బదులుగా XSS
వందలాది అధ్యయనాలు వ్రాసినప్పటికీ, సంవత్సరానికి XSS (క్రాస్-సైట్ స్క్రిప్టింగ్) దాడి ఇప్పటికీ ఎక్కువగా ఉంది తరచుగా ఎదుర్కొంటారు వెబ్ దుర్బలత్వం (లేదా దాడి?).
ఫైల్ అప్లోడ్లు ఏ భద్రతా పరిశోధకుడికైనా ఇష్టమైన ప్రదేశం. పెంటెస్టర్ల పరిభాషలో - “లోడ్ షెల్”లో మీరు ఏకపక్ష స్క్రిప్ట్ (asp/jsp/php) లోడ్ చేయగలరని మరియు OS ఆదేశాలను అమలు చేయగలరని తరచుగా తేలింది. కానీ అటువంటి దుర్బలత్వాల యొక్క ప్రజాదరణ రెండు దిశలలో పనిచేస్తుంది: అవి గుర్తుంచుకోబడతాయి మరియు వాటికి వ్యతిరేకంగా నివారణలు అభివృద్ధి చేయబడ్డాయి, తద్వారా ఇటీవల "షెల్ లోడ్ చేయడం" యొక్క సంభావ్యత సున్నాకి ఉంటుంది.
దాడి చేసిన బృందం (డిజిటల్ సెక్యూరిటీ ద్వారా ప్రాతినిధ్యం వహిస్తుంది) అదృష్టవంతులు. సరే, సర్వర్ వైపు ఉన్న MCSలో డౌన్లోడ్ చేయబడిన ఫైల్ల కంటెంట్లు తనిఖీ చేయబడ్డాయి, చిత్రాలు మాత్రమే అనుమతించబడ్డాయి. కానీ SVG కూడా ఒక చిత్రం. SVG చిత్రాలు ఎలా ప్రమాదకరంగా ఉంటాయి? ఎందుకంటే మీరు వాటిలో జావాస్క్రిప్ట్ స్నిప్పెట్లను పొందుపరచవచ్చు!
డౌన్లోడ్ చేయబడిన ఫైల్లు MCS సేవ యొక్క వినియోగదారులందరికీ అందుబాటులో ఉన్నాయని తేలింది, అంటే ఇతర క్లౌడ్ వినియోగదారులపై దాడి చేయడం సాధ్యమవుతుంది, అవి నిర్వాహకులు.
ఫిషింగ్ లాగిన్ ఫారమ్పై XSS దాడికి ఉదాహరణ
XSS దాడి దోపిడీకి ఉదాహరణలు:
లోడ్ చేయబడిన స్క్రిప్ట్ రిసోర్స్ APIని తక్షణమే యాక్సెస్ చేయగలిగితే, సెషన్ను దొంగిలించడానికి ఎందుకు ప్రయత్నించాలి (ప్రత్యేకంగా HTTP-కుకీలు ప్రతిచోటా ఉన్నాయి, js స్క్రిప్ట్లను ఉపయోగించి దొంగతనం నుండి రక్షించబడతాయి). ఈ సందర్భంలో, పేలోడ్ సర్వర్ కాన్ఫిగరేషన్ను మార్చడానికి XHR అభ్యర్థనలను ఉపయోగించవచ్చు, ఉదాహరణకు, దాడి చేసేవారి పబ్లిక్ SSH కీని జోడించి, సర్వర్కి SSH యాక్సెస్ని పొందుతుంది.
CSP విధానం (కంటెంట్ ప్రొటెక్షన్ పాలసీ) JavaScriptను ఇంజెక్ట్ చేయకుండా నిషేధిస్తే, దాడి చేసే వ్యక్తి అది లేకుండానే పొందవచ్చు. స్వచ్ఛమైన HTMLని ఉపయోగించి, సైట్ కోసం నకిలీ లాగిన్ ఫారమ్ను సృష్టించండి మరియు ఈ అధునాతన ఫిషింగ్ ద్వారా నిర్వాహకుని పాస్వర్డ్ను దొంగిలించండి: వినియోగదారు కోసం ఫిషింగ్ పేజీ అదే URLలో ముగుస్తుంది మరియు వినియోగదారు దానిని గుర్తించడం చాలా కష్టం.
చివరగా, దాడి చేసే వ్యక్తి ఏర్పాట్లు చేయవచ్చు క్లయింట్ DoS — 4 KB కంటే పెద్ద కుకీలను సెట్ చేయండి. వినియోగదారు ఒక్కసారి మాత్రమే లింక్ను తెరవాలి మరియు వినియోగదారు ప్రత్యేకంగా బ్రౌజర్ను శుభ్రపరచాలని భావించే వరకు మొత్తం సైట్ ప్రాప్యత చేయబడదు: చాలా సందర్భాలలో, వెబ్ సర్వర్ అటువంటి క్లయింట్ను అంగీకరించడానికి నిరాకరిస్తుంది.
కనుగొనబడిన మరొక XSS యొక్క ఉదాహరణను చూద్దాం, ఈసారి మరింత తెలివైన దోపిడీతో. MCS సేవ ఫైర్వాల్ సెట్టింగ్లను సమూహాలుగా కలపడానికి మిమ్మల్ని అనుమతిస్తుంది. సమూహం పేరు XSS కనుగొనబడింది. దీని విశిష్టత ఏమిటంటే, వెక్టర్ వెంటనే ట్రిగ్గర్ చేయబడదు, నియమాల జాబితాను చూసేటప్పుడు కాదు, కానీ సమూహాన్ని తొలగించేటప్పుడు:
అంటే, దృష్టాంతం క్రింది విధంగా మారింది: దాడి చేసే వ్యక్తి పేరులో "లోడ్"తో ఫైర్వాల్ నియమాన్ని సృష్టిస్తాడు, నిర్వాహకుడు కొంతకాలం తర్వాత దానిని గమనించి, తొలగింపు ప్రక్రియను ప్రారంభిస్తాడు. మరియు ఇక్కడే హానికరమైన JS పనిచేస్తుంది.
అప్లోడ్ చేయబడిన SVG చిత్రాలలో XSS నుండి రక్షించడానికి MCS డెవలపర్ల కోసం (వాటిని విస్మరించలేకపోతే), డిజిటల్ సెక్యూరిటీ బృందం సిఫార్సు చేసింది:
వినియోగదారులు అప్లోడ్ చేసిన ఫైల్లను "కుకీలు"తో సంబంధం లేని ప్రత్యేక డొమైన్లో ఉంచండి. స్క్రిప్ట్ వేరే డొమైన్ సందర్భంలో అమలు చేయబడుతుంది మరియు MCSకి ముప్పు కలిగించదు.
సర్వర్ యొక్క HTTP ప్రతిస్పందనలో, “కంటెంట్-డిస్పోజిషన్: అటాచ్మెంట్” హెడర్ను పంపండి. అప్పుడు ఫైల్లు బ్రౌజర్ ద్వారా డౌన్లోడ్ చేయబడతాయి మరియు అమలు చేయబడవు.
అదనంగా, XSS దోపిడీ ప్రమాదాలను తగ్గించడానికి డెవలపర్లకు ఇప్పుడు అనేక మార్గాలు అందుబాటులో ఉన్నాయి:
“HTTP మాత్రమే” ఫ్లాగ్ని ఉపయోగించి, మీరు సెషన్ “కుకీలు” హెడర్లను హానికరమైన జావాస్క్రిప్ట్కి యాక్సెస్ చేయలేని విధంగా చేయవచ్చు;
కోణీయ లేదా రియాక్ట్ వంటి ఆధునిక టెంప్లేట్ ఇంజిన్లు వినియోగదారు డేటాను వినియోగదారు బ్రౌజర్కు అవుట్పుట్ చేయడానికి ముందు స్వయంచాలకంగా శుభ్రపరుస్తాయి.
రెండు-కారకాల ప్రమాణీకరణ దుర్బలత్వాలు
ఖాతా భద్రతను మెరుగుపరచడానికి, వినియోగదారులు ఎల్లప్పుడూ 2FA (రెండు-కారకాల ప్రమాణీకరణ)ని ప్రారంభించమని సలహా ఇస్తారు. వాస్తవానికి, వినియోగదారు ఆధారాలు రాజీపడి ఉంటే, దాడి చేసే వ్యక్తి సేవకు ప్రాప్యత పొందకుండా నిరోధించడానికి ఇది ఒక ప్రభావవంతమైన మార్గం.
కానీ రెండవ ప్రామాణీకరణ కారకాన్ని ఉపయోగించడం ఎల్లప్పుడూ ఖాతా భద్రతకు హామీ ఇస్తుందా? 2FA అమలులో క్రింది భద్రతా సమస్యలు ఉన్నాయి:
OTP కోడ్ యొక్క బ్రూట్-ఫోర్స్ శోధన (వన్-టైమ్ కోడ్లు). ఆపరేషన్ యొక్క సరళత ఉన్నప్పటికీ, OTP బ్రూట్ ఫోర్స్ నుండి రక్షణ లేకపోవడం వంటి లోపాలు కూడా పెద్ద కంపెనీలకు ఎదురవుతాయి: స్లాక్ కేసు, ఫేస్బుక్ కేసు.
బలహీనమైన తరం అల్గోరిథం, ఉదాహరణకు తదుపరి కోడ్ను అంచనా వేయగల సామర్థ్యం.
మీ ఫోన్లో వేరొకరి OTPని అభ్యర్థించగల సామర్థ్యం వంటి లాజికల్ ఎర్రర్లు ఇది Shopify నుండి.
MCS విషయంలో, 2FA Google Authenticator ఆధారంగా అమలు చేయబడుతుంది మరియు యుగళం. ప్రోటోకాల్ ఇప్పటికే సమయం-పరీక్షించబడింది, అయితే అప్లికేషన్ వైపు కోడ్ ధృవీకరణ అమలును తనిఖీ చేయడం విలువ.
MCS 2FA అనేక ప్రదేశాలలో ఉపయోగించబడుతుంది:
వినియోగదారుని ప్రమాణీకరించేటప్పుడు. బ్రూట్ ఫోర్స్ నుండి రక్షణ ఉంది: వినియోగదారు ఒక-పర్యాయ పాస్వర్డ్ను నమోదు చేయడానికి కొన్ని ప్రయత్నాలను మాత్రమే కలిగి ఉంటారు, ఆ తర్వాత ఇన్పుట్ కొంతకాలం బ్లాక్ చేయబడుతుంది. ఇది OTP యొక్క బ్రూట్-ఫోర్స్ ఎంపిక యొక్క అవకాశాన్ని బ్లాక్ చేస్తుంది.
2FAని నిర్వహించడానికి ఆఫ్లైన్ బ్యాకప్ కోడ్లను రూపొందించేటప్పుడు, అలాగే దానిని నిలిపివేయండి. ఇక్కడ, బ్రూట్ ఫోర్స్ రక్షణ అమలు చేయబడలేదు, దీని వలన మీరు ఖాతా కోసం పాస్వర్డ్ మరియు సక్రియ సెషన్ని కలిగి ఉంటే, బ్యాకప్ కోడ్లను పునరుత్పత్తి చేయడం లేదా 2FAని పూర్తిగా నిలిపివేయడం సాధ్యమైంది.
బ్యాకప్ కోడ్లు OTP అప్లికేషన్ ద్వారా రూపొందించబడిన స్ట్రింగ్ విలువల శ్రేణిలో ఉన్నాయని పరిగణనలోకి తీసుకుంటే, తక్కువ సమయంలో కోడ్ను కనుగొనే అవకాశం చాలా ఎక్కువగా ఉంది.
“Burp: Intruder” సాధనాన్ని ఉపయోగించి 2FAని నిలిపివేయడానికి OTPని ఎంచుకునే ప్రక్రియ
ఫలితంగా
మొత్తంమీద, MCS ఒక ఉత్పత్తిగా సురక్షితమైనదిగా కనిపిస్తుంది. ఆడిట్ సమయంలో, పెంటెస్టింగ్ బృందం క్లయింట్ VMలు మరియు వాటి డేటాకు యాక్సెస్ను పొందలేకపోయింది మరియు కనుగొనబడిన దుర్బలత్వాలను MCS బృందం త్వరగా సరిదిద్దింది.
కానీ ఇక్కడ భద్రత అనేది నిరంతర పని అని గమనించడం ముఖ్యం. సేవలు స్థిరంగా ఉండవు, అవి నిరంతరం అభివృద్ధి చెందుతూనే ఉంటాయి. మరియు హాని లేకుండా ఉత్పత్తిని పూర్తిగా అభివృద్ధి చేయడం అసాధ్యం. కానీ మీరు వాటిని సకాలంలో కనుగొనవచ్చు మరియు అవి పునరావృతమయ్యే అవకాశాన్ని తగ్గించవచ్చు.
ఇప్పుడు MCSలో పేర్కొన్న అన్ని దుర్బలత్వాలు ఇప్పటికే పరిష్కరించబడ్డాయి. మరియు కొత్త వాటి సంఖ్యను కనిష్టంగా ఉంచడానికి మరియు వారి జీవితకాలాన్ని తగ్గించడానికి, ప్లాట్ఫారమ్ బృందం దీన్ని కొనసాగిస్తుంది:
బాహ్య సంస్థలచే క్రమం తప్పకుండా తనిఖీలు నిర్వహించడం;