ANTICHAT - Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty

Статья является переводом. Оригинал вот тут

https://forum.antichat.xyz/attachmen...5656217753.png

TL;DR:

"Мыслите вне рамокOWASP TOP-10/SANS TOP-25/Bug Bounty ". В этой статье мы обсудим несколько примеров, чтобы донести главную идею о том, что если вы думаете ограниченно, то вы и будете ограниченными. Использование Bug bounty ухудшило качество тестирования на проникновение, как для клиентов, так и для специалистов. Клиенту трудно отличить хороший пентест от быстрого и грязного, при использовании топ-10/топ-25 будь то SANS или OWASP .

Эта статья поможет тем, кто только встал на этот путь информационной безопасности и охоты за багами.

Цитата:

Внимание: Эта статья может изменить и изменит взгляд, мышление и привычку типичного пентестера. Будьте осторожны. Это может причинить серьезную боль вашим чувствам!

1. Введение

કેમ છો? મજામાં. Я - Равикумар Пагдал, в настоящее время работаю старшим менеджером в компании Net Square Solutions Pvt. Ltd. Из-за специфики своей работы, я просмотрел сотни отчетов по оценке уязвимостей веб/мобильных приложений и по тестированию на проникновение в нескольких организациях, и есть одна вещь, которая всегда присутствует во всех отчетах, и, угадайте что это?

"Самое распространенное - это хорошо известные уязвимости".

Да, я говорю о SQL инъекциях, XSS, CSRF, IDOR, отсутствующих заголовках безопасности и т.д.

Шокирует то, что по данным опроса, проведенного HackerOne в 2019 году "Опрос и статистика сообщества этических хакеров" (стр. 39), более 50% BugBounty охотников ориентируются только на XSS и SQLi.

Цитата:

ВСЕ БОЛЬШЕ И БОЛЬШЕ ХАКЕРОВ НАЗЫВАЮТ XSS СВОИМ ЛЮБИМЫМ ВЕКТОРОМ АТАКИ.

Цитата:

На вопрос о любимом векторе или методике атаки, более 38% опрошенных хакеров ответили, что предпочитают поиск уязвимостей межсайтового скриптинга (XSS). Это больше, чем в прошлом году, когда их было всего 28%, и, тем самым, размещает XSS значительно выше всех остальных векторов атак. SQL-инъекция заняла второе место - 13,5%, а fuzzing, business logic и information gathering поместили в первую пятерку. В 2017 году ни business logic, ни сбор информации не попали в десятку лучших за прошлый год.- "Исследование и статистика сообщества этических хакеров" (стр. 38).

https://forum.antichat.xyz/attachmen...5656426540.png

Поразмышляв, почему приблизительные данные наиболее часто встречаются в каждом отчете по безопасности, в конце концов, я пришел к выводу, и все оказалось так просто.

"Потому что аналитик безопасности или пентестер фокусируется только на известных уязвимостях".

По своему опыту могу сказать, что это привычное поведение или модели практики. Это то, что я наблюдал в большинстве пентестов. По отношению к тестированию, основной стратегией является перехват HTTP-запроса и ввод одинарных (

Код:

'

), двойных кавычек (

Код:

"

), знак больше, чем (

Код:

>

) и знак меньше, чем (
[CODE]
", pass:""}[/COLOR] на сервер приложений A.
[*]Веб-сервер W получит параметр; преобразует их в XML-формат и перешлет на сервер приложений A.
[*]Сервер приложений A разберет запрос и выполнит вход на сервер Mongo DB N.[/LIST]В этом случае значение нашего параметра будет преобразовано в XML запрос. Таким образом, вы можете вставить XML пейлоад в параметры uid и pass, а затем он будет проанализирован на сервере приложений A. Таким образом, атакующий может выполнить все возможные XML атаки: XML Injection, XXE, XInclude, XSLT инъекцию иXPATH инъекцию [если XPath запросы используются в этом процессе].

Другое наблюдение заключается в том, что mongoDB не принимает никаких SQL выражений. Таким образом, вы должны внедрить инъекцию NoSQL заявлений, а uid является уязвимым для NoSQL инъекции.

2.4 Пример и эксплуатация log server based уязвимости.

Опять же, у нас одна и та же страница входа с двумя параметрами uid и pass, а также у нас та же архитектура, что и в примере 2.3, но к тому же, у нас еще есть два лог сервера.

Один лог сервер L1 размещен на ORACLE DB, а L2 на базе командной строки linux. Каждый запрос, полученный сервером приложений A, будет скопирован и отправлен на оба лог-сервера (L1, L2) , после чего сервер приложений A обработает запрос.

Шаги:
1. Браузер отправляет два параметра uid и passна веб-сервер W, а если с мобильного приложения AN, то браузер отправит JSON запрос {uid:"", pass:""} на сервер приложений A.
2. Веб-сервер W получит параметры; преобразует их в XML-формат и перешлет на сервер приложений A.
3. Каждый запрос, полученный сервером приложений А, будет скопирован и отправлен на оба лог-сервера L1,L2. Если сервер приложений А получит JSON запрос, т.е. {uid: "ravi",pass: "P@ssw0rd"}, то сервер приложений все равно отправит этот запрос на лог-сервера.

На лог-сервере L1 запрос будет сгенерирован в виде следующего SQL-запроса:

SQL:

Код:

INSERT

INTO

LOG_2019

VALUES

(

'{uid:"ravi",pass:"P@ssw0rd"}'

)

;

INSERT

INTO

LOG_2019

VALUES

(

'{uid:"ravi",pass:"Wr0ng_P@55w0rd"}'

)

;

INSERT

INTO

LOG_2019

VALUES

(

'{uid:"admin",pass:"admin"}'

)

;

INSERT

INTO

LOG_2019

VALUES

(

'{uid:"test",pass:"test@123"}'

)

;

На L2 запрос будет сгенерирован для добавления запроса в лог-файл, и в следующей форме:

Bash:

Код:

echo

'{uid:"ravi",pass:"P@ssw0rd"}'

>>

LOG_2019.log

echo

'{uid:"ravi",pass:"Wr0ng_P@55w0rd"}'

>>

LOG_2019.log

echo

'{uid:"admin",pass:"admin"}'

>>

LOG_2019.log

echo

'{uid:"test",pass:"test@123"}'

>>

LOG_2019.log

4. Сервер приложений A спарсит запрос и выполнит вход на сервер Mongo DB N.

В данном случае все возможные уязвимости можно увидеть в примере 2.3, кроме того, значения наших параметров напрямую вызываются в запросе лог-сервера, чтобы злоумышленник мог произвести инъекцию пейлоада в процесс логироания. Таким образом, лог-сервер L1 уязвим к SQL инъекции, а сервер L2 уязвим к инъекции ОС команд.

Цитата:

Забавная часть заключается в том, что вы можете провести инъекцию пейлоада где угодно в JSON запросе, ведь он не ограничивается только значением параметра, потому что весь JSON запрос будет записываться в лог сервер .

И еще, если внимательно присмотреться к архитектуре, то все соединения между межсерверным взаимодействием - двунаправленные, но только вызовы L1/L2 лог-сервера идут в одном/единственном направлении. Поэтому, если вы хотите выявить эту слепую инъекцию, вам нужно знать технологию out-of-band, и как она работает. Также, вам нужно узнать о BURP collaborator, чтобы обнаружить этот вид скрытых уязвимостей [скрытых, потому что вы не сможете пронаблюдать никаких ошибок или задержек во времени ответа; поэтому вы должны использовать эту уязвимость, только с OOB-технологией ].

2.5 Пример с протоколом LDAP и JSON Web Token

И снова у нас одна и та же страница входа с двумя параметрами uidи pass, и у нас та же архитектура, что и в случае 2.4, но теперь у нас еще есть один процесс аутентификации, использующий протокол LDAP, для проверки пользователя.

Как только сервер приложения A получит запрос на вход, он перенаправит запрос в активную директорию или в контроллер домена AD для проверки запроса пользователя, основанный на аутентификации windows; и этот процесс реализуется с помощью динамических LDAP строк. Если пользователь и пароль - действительны, то AD сервера будут выдавать JSON Web Token (JWT), и в дальнейшем, вся аутентификация будет происходить с помощью верифицирующего JWT токена.

https://forum.antichat.xyz/attachmen...5663429949.png

Шаги:

Браузер отправляет два параметра uid и pass на веб-сервер W, а если используется мобильное приложение AN, то он отправит JSON запрос {uid:"", pass:""} на сервер приложений A.
Веб-сервер W получает параметры.
W преобразовывает их в XML-формат и перенаправляет на сервер приложений A.
Каждый запрос, полученный сервером приложений А, будет скопирован и отправлен на оба лог-сервера L1,L2.
Сервер приложений A будет создавать динамический LDAP запрос для проверки идентификатора пользователя и пароля и пересылать запрос в активную директорию или контроллер домена AD для проверки пользователя.
Если пользователь ввел валидные данные, то AD-сервер выдаст JSON Web Token (JWT).
Если запрос пользователя имеет JWT-токен, то прикладной сервер A разберет запрос и начнет обработку данных на сервере Mongo DB N.

Все возможные атаки для этого случая аналогичны атакам для случая 2.4, в дополнение к LDAP инъекции и возможности JWT misconfiguration, связанные с проблемами.

2.6 Не доверяйте заголовкам HTTP; пример с CVE-2019-5418.

В этом примере, мы рассмотрим некоторые уязвимости, обнаруженные в заголовках HTTP.

Цитата:

CVE-2019-5418 : File Content Disclosure на Rails, найденное Джоном Хоторном.

В этом случае заголовок Accept HTTP уязвим к File Content Disclosure (раскрытию содержимого файлов).

https://forum.antichat.xyz/attachmen...5663708734.png

На изображениях ниже показан заголовокReferer HTTP, который уязвим для SQL инъекции.

https://forum.antichat.xyz/attachmen...5663722750.png

Итак, мой вопрос для всех пентестеров: "Как часто вы проверяете различные уязвимости в таких HTTP заголовках?".

2.7 Тестирование Out of the Box или странное тестинг - пример с CVE-2018-4124

Цитата:

CVE-2018-4124

Код:

జ్ఞా

Этот символ Telugu вызывает сбой в работе Apple iPhone (Обновление: Исправлена ошибка в iOS 11.2.6).

Кто-то заметил, что отображение строки, написанной на индийском языке Telugu (

Код:

జ్ఞా

), приводило к аварийному завершению работы многих приложений на iOS и MacOS.

Apple стало известно об этой проблеме после того, как новости об ошибке начали распространяться в социальных сетях, а тролли начали её эксплуатировать. Один человек, по-видимому, показал, как он может крах приложения Uber на телефонах водителей, установив его имя в проблемной строке, а затем попросить подвезти.

Хотя первоначально только определенная Telugu строка работала, кто-то позже заметил, что конкретная строка с использованием символов бенгальского языка также вызвало крах приложений на iOS и MacOS. Существует несколько теорий о том, что может стать причиной сбоя, в том числе от инженера-исследователя Mozilla Маниша Горегаокара и Филиппа Верди из консорциума Unicode.

Компания исправила этот недостаток, выпустив дополнение к обновлению macOS High Sierra 10.13.3, iOS 11.2.6, WatchOS 4.2.3 и tvOS 11.2.6.

Другой случай является Breaking Parser Logic, или Нарушение Логики Парсера - Take Your Path Normalization Off и Pop 0days Out от @orange_8361

CVE

Spring Framework

CVE-2018-1271

Spark Framework

CVE-2018-9159

Jenkins

CVE-2018-1999002

Mojarra

CVE-2018-14371

Ruby on Rails

CVE-2018-3760

Sinatra

CVE-2018-7212

Next.js

CVE-2018-6184

resolve-path

CVE-2018-3732

Итак, после одной длинной и одной короткой истории!!!

Что мы узнали как пентестер на примере тестирования 2.7 Out of the Box или странного тестинга?

Не верьте ни на один символ юникода, вам нужно проверить ваш веб-сервер со всеми возможными символами юникода. Правильно ???

Вы не знаете, какой именно юникод приведет к краху вашего сервера.

Если вы хотите поиграть больше с юникодом, то вам нужно просмотреть Unraveling Unraveling Unicode: A Bag of Tricks for Bug Hunting и Exploiting Unicode-enabled Software от Chris Weber.

Эта тема всегда будет обсуждаемой: Почему Джонни не может провести пентест: Анализ Black-box веб-уязвимостей и автоматическое и ручное тестирование. Сканер сделает то же самое, установит все точки и графики инъекции, а также профазит предопределенной пейлоад. На основе ответов сервера сканер будет решать, есть уязвимости или нет.

Во многих случаях, автоматический сканер будет работать неэффективно, вот несколько примеров.

Мы отправляем один запрос ради автоматического сканирования, и во время него сессия может завершиться.
Во время сканирования, сервера может долго отвечать, и поэтому остальная часть теста будет отложена, и сканер обнаружит time based уязвимость, то есть основанную на времени (а это не является правдой).
Сервер может сообщить об ошибке, которой нет в подписи сканера.
Web-страницы содержат те слова, которые перечислены в подписи БД.
Во время сканирования - сервер обновляет токен сеанса.
Новая выявленная уязвимость не является частью сканера !!!
URL-адреса приложений, созданные во время работы, основаны на DOM или JS ...

Заключение

Прежде всего, у 5-ти примеров есть одна общая черта - это одна и та же страница входа с параметром uid и pass.

Как Black Box Tester, мы не знаем об архитектуре и конфигурации серверной стороны. Поэтому при тестировании необходимо следовать двум правилам:

Цитата:

Каждая управляемая пользователем часть HTTP-запроса уязвима ко всем возможным уязвимостям. Поэтому думайте как злоумышленник и тестируйте как злоумышленник.

Цитата:

Злоумышленники не следуют стандартам соответствия и сертификации. - Саумил Шах

Основываясь на вышеперечисленных 5 примерах, мы пришли к выводу, что нельзя судить об уязвимостях по имени параметра, мы увидели один недостаток с двумя параметрами uid и pass, имеющий возможность использовать несколько уязвимостей (атаки SQLi, RCE, LDAPi, NoSQLi, XML и т.д.) в одном и том же приложении/запросе.

В примере 2.6, в котором четко указано, что не следует игнорировать и заголовки HTTP, они не менее важны, чем параметры.

Никогда не знаешь, в каком запросе и в каком процессе разработчик использует HTTP-заголовок при написания приложения. Поэтому не судите вслепую о заголовках и проводите правильный пентест.

В случае исследования 2.7, мы узнали, что всегда нужно делать out of the box тестирование, чтобы обнаружить больше ненормальных багов(а может и находить, 0-day уязвимость).

Теперь у вас есть такой же HTTP запрос.

https://forum.antichat.xyz/attachmen...5664101046.png

и у вас все тот же вопрос.

Какая часть запроса является уязвимой?
Какая уязвимость повлияет на приложение и на какую часть?

И, прочитав статью, у вас есть ответ. Верно?

Цитата:

Каждый уголок запроса включает HTTP методы, заголовки сообщенийи все параметры уязвимы для каждой возможной уязвимости.

Мы даже рассмотрели несколько тестовых случаев, когда автоматический сканер будет работать неудачно. Поэтому вам необходимо создать такой процесс тестирования или методику, что бы человек активно учувствовал в автоматизированном процессе. Использование смешанного подхода, поможет достигнуть удовлетворительного уровня тестирования.

Самым большим недостатком пентестера является постоянный страх "пропустить уязвимость" и отсутствие энтузиазма найти 0-day или провести странное тестирование в связи с истечением срока. Мы всегда можем подойти к работу с умом, но если мы пропустим 0-day, то это будет нашим самым большим сожалением".

Аппендикс A: Библиография

Программы/Скрипты:

Online Zalgo Text Generator Zalgo Text Generator - Create Glitchy Text Online
Burp Collaborator Burp Collaborator

Статьи/Посты:

Edge Side Includes abused to enable RCE Edge Side Includes abused to enable RCE
Apple News https://www.pbwcz.cz/Articles of english/apple.html

Ссылочная документация:

OWASP Top Ten Project OWASP Top Ten
CWE/SANS TOP 25 Most Dangerous Software Errors Top 25 Software Errors | SANS Institute
The 2019 Hacker Report https://www.hackerone.com/sites/default/files/2019-02/the-2019-hacker-report_3.pdf
Habit, Attitude, and Planned Behaviour https://www.tandfonline.com/doi/abs/10.1080/14792779943000035
CWE List Version 3.4 https://cwe.mitre.org/data/index.html
HTTP Extensions for Web Distributed Authoring and Versioning (WebDAV) https://www.ietf.org/rfc/rfc4918.txt
HTTP PUT request method https://developer.mozilla.org/en-US/docs/Web/HTTP/Methods/PUT
HTTP PATCH request method https://developer.mozilla.org/en-US/docs/Web/HTTP/Methods/PATCH
JSON Web Token (JWT) https://tools.ietf.org/html/rfc7519
JSON Web Token Best Current Practices https://tools.ietf.org/html/draft-ietf-oauth-jwt-bcp-07
Why Johnny Can’t Pentest: An Analysis of Black-box Web Vulnerability Scannershttps://sefcom.asu.edu/publications/black-box-scanners-dimva2010.pdf

Експлойты:

File Content Disclosure on Ruby on Rails https://github.com/mpgn/CVE-2019-5418
CVE-2018-4124 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-4124

Презентации с конференции:

Breaking Parser Logic - Take Your Path Normalization Off and Pop 0days Out - Orange Tsai,Blackhat USA 2018 https://i.blackhat.com/us-18/Wed-Au...ath-Normalization-Off-And-Pop-0days-Out-2.pdf
Unraveling Unicode: A Bag of Tricks for Bug Hunting - Chris Weber https://www.blackhat.com/presentati...USA09-Weber-UnicodeSecurityPreview-SLIDES.pdf
Redefining Defense - Saumil Shah https://conference.hitb.org/hitbsecconf2017ams/materials/KEYNOTE 1 - Saumil Shah - Redefining Defense.pdf

Было упомянуто

Saumil Shah @therealsaumil https://twitter.com/therealsaumil
John Hawthorn @jhawthorn https://twitter.com/jhawthorn
Cheng-Da Tsai @orange_8361 https://twitter.com/orange_8361
Chris Weber @w3be https://twitter.com/w3be
Binni Shah @binitamshah https://twitter.com/binitamshah
Dafydd Stuttard @dafyddstuttard https://twitter.com/dafyddstuttard

Отдельная благодарность

Saumil Shah
Hiren Shah
Jigar Soni
Aditya Modha

EOF