Drobné chyby, které vám mohou zlomit vaz

https://lynt.cz @smitka
Drobné chyby, které vám mohou
zlomit vaz
Vláďa Smitka
vladimir.smitka@lynt.cz
@smitka
Lynt services s.r.o.

Další přednáška o SQLi/XSS/HTTPS/heslech
12. 6. 2018 2
"Bezpečnost vyžaduje odlišné myšlení"

https://lynt.cz @smitka12. 6. 2018 3

Klasifikace útočníka
12. 6. 2018 4

FB
12. 6. 2018 5

Krádež údajů
12. 6. 2018 6
https://github.com/beefproject/beef/wiki/Module%3A-Pretty-Theft

"Nedělej živé ukázky, nedělej živé
ukázky, nedělej živé ukázky"
12. 6. 2018 7

Živá ukázka
12. 6. 2018 8

Document relationships
• window.opener.location
• <a href="" target="_blank">link</a>
• <a href="" target="_blank" rel="noopener noreferrer">link</a>
• https://caniuse.com/#search=noopener
• https://caniuse.com/#search=noreferrer
• Referrer-policy HTTP header
• https://w3c.github.io/webappsec-referrer-policy/
12. 6. 2018 9

Puny code domain
• https://www.аррӏе.com/
• https://www.xn--80ak6aa92e.com/
• http://homoglyphs.net/
12. 6. 2018 10

Když developer a vývojář nejsou na stejné lodi
12. 6. 2018 11

FPD
• /var/www/clients/client3/web8 - ISPconfig
• /var/www/vhosts/web.xy/httpdocs/ - Plesk
• /home/webxy/public_html/ - cPanel
• /data/web/virtuals/180581/virtual/www/
12. 6. 2018 12
FTP uživatel

Vyvolání chyby
12. 6. 2018 13
• Prázdná session
• Dlouhá session
• Speciální znak
• Přímé volání souboru
• pole[]
Stacktrace
Apache APPProxy
search.php?q=abc
search.php?q[]=abc
Požadavek z
lokální sítě

Výpis souborů
12. 6. 2018 14
5% slovenských WP webů
https://lynt.cz/blog/wordpress-v-sk-pruzkum
vim: .<file>.swp

Editor
12. 6. 2018 15
CKEDITOR.replace("frm-loginForm-username")
Hacker friendly robots.txt:
Disallow: /cesta/k/adminu ;-)
Samozřejmě to platí i pro TinyMCE a další.

.git
12. 6. 2018 16
Několik tisícovek českých webů má přístupnou složku .git!
I bez výpisu adresáře lze .git stáhnout - https://github.com/internetwache/GitTools

"Nejisté chování vede k jistým chybám."
12. 6. 2018 17

Neplánovaný uživatelský vstup
• Můj user-agent:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
AppleWebKit/537.36 (KHTML, like Gecko)
Chrome/67.0.3396.62 Safari/537.36 <img
src=https://tools.lynt.cz/ua/>
12. 6. 2018 18

XXE - XML External Entity
from lxml import etree
x = etree.parse('test.xml')
print(etree.tostring(x))
12. 6. 2018 19
* hint: defusedxml
https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet
<!DOCTYPE root [<!ENTITY e SYSTEM "/etc/passwd">]>
<root>&e;</root>
<!DOCTYPE root [<!ENTITY e "Ahoj">]>
<root>&e;</root>
<root>Ahoj</root>

XXE - DoS
12. 6. 2018 20
<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
]>
<lolz>&lol9;</lolz>
Billion laughs attack: https://en.wikipedia.org/wiki/Billion_laughs_attack
Quadratic blowup - slabší varianta bez zanořování

XXE příklady
Google:
https://blog.detectify.com/2014/04/11/how-
we-got-read-access-on-googles-production-
servers/
Facebook:
https://www.ubercomp.com/posts/2014-01-
16_facebook_remote_code_execution
12. 6. 2018 21

HPP
• HTTP Parameter Pollution
• /?id=1&id=2
12. 6. 2018 22
technologie Výsledek (* může se lišit dle konkrétní knihovny)
PHP 2
Ruby 2
Perl 1
JSP 1
Python (Django, Flask) 1
Node [1,2]
ASP.NET 1,2

HPP
POST /index.php?id=1&id=2 HTTP/1.1
Cookie: id=3;id=4
id=5&id=6
12. 6. 2018 23
Účely HPP:
Přepsat jinde definované parametry
Změnit chování aplikace
Vyvolat chybu
Obejít kontroly/WAF

HPP 26/3d selfreference
• page.php?action=edit&page=<PAGE_ID>
• page_id = 1%26action%3ddelete
• page.php?action=edit&page=1&action=delete
12. 6. 2018 24

HPP příklady
12. 6. 2018 25
Twitter:
https://twitter.com/intent/like?tweet_id=123456789&screen_name=Attacker
https://ericrafaloff.com/parameter-tampering-attack-on-twitter-web-intents/
WordPress 4.7.0 + 4.7.1:
https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017
Yahoo Classic Mail:
http://it.mc257.mail.yahoo.com/mc/showFolder?
fid=Inbox&order=down&tt=245&pSize=25&startMid=0
%2526cmd=fmgt.emptytrash%26DEL=1%26DelFID=Inbox%26cmd=fmgt.delete
Blogger.com:
https://upshell.wordpress.com/?p=195

CSRF
12. 6. 2018 26
<body>
Admine,
<br>
díky za tvojí skvělou práci!</div>
<br>
<img src="cid:emab59100f-75bf-4822-b264-
f36747e24083">
<img width="0" height="0"
src="https://admininistrace.xy/change_pass
word.php?password=hahahaha">
</body>

Pár otázek
• Mají mé session cookies HTTP Only + Secure?
• Používám target="_blank" s noopener, noreferrer?
• Nezobrazuji chybové hlášky a stacktrace?
• Zakazuji výpis složek (autoindex), a přístup ke všemu, co
začíná tečkou (především .git)?
• Ověřuji uživatele u filemanageru v HTML editoru?
• Jak se zachová aplikace když se jí pošle více stejných
parametrů?
• Jak nakládá XML parser s entitami?
• Mám všude CSRF tokeny?
• Kolik používám bezpečnostních hlaviček?
https://securityheaders.com/
12. 6. 2018 27

https://lynt.cz @smitka12. 6. 2018 28
A to je vše, přátelé.
Reklamní vsuvka:
Děláte s PPC? Sledujte https://twitter.com/PPCrobot
Děláte v Pythonu? PPC Robot hledá vývojáře ;-)

Drobné chyby, které vám mohou zlomit vaz

Recommended

Recommended

More Related Content

What's hot

What's hot (11)

More from Vladimír Smitka

More from Vladimír Smitka (14)

Drobné chyby, které vám mohou zlomit vaz

Editor's Notes