уязвимость

Постов: 8 Рейтинг: 21207
4106

Про взлом сайта

Развернуть

Вспомнил историю, хочу поделиться. Может кому то интересно, что значит "взлом сайта" и как это делают.

Был у меня малюсенький сайт в годах примерно 2010-2014. Сайт - интернет магазин, где я продавал свои же php скрипты и давал возможность любому продавать на нём свои скрипты и брал за это 10%. Сайт был не прибыльным, но и содержание его мне ни чего не стоило. И написал я его полностью сам, совершенствуя навык программирования. Был этот сайт полностью автоматизирован.. Т.е. пополнение баланса через webmoney, покупка, продажа, вывод денег, оповещения о продажах по смс... Всё проходило автоматически и без моего участия. К сайту был привязан кошелек, на котором лежало около 3000р.

Однажды мне позвонил какой-то паренек.. 17 лет ему было. И представился как человек, взломавший мой сайт.

И действительно, парень вывел на свой кошелек все деньги с кошелька сайта. Он их мне вернул и рассказал про уязвимость.

А уязвимость просто наитупейшая... Немного об алгоритме программы: при покупке какого-то товара, программа проверяла, если на счету покупателя денег больше чем цена товара, то из его счета вычиталась эта сумма и отдавался товар. Так вот. В программе при добавлении товара на сайт я не сделал проверку на отрицательную цену. Чувак просто добавил товар с отрицательной ценой, допустим -500р. Потом с другого аккаунта стал покупать свой же товар. Программа проверила, что на его нулевом счету денег больше, чем -500 и вычла из нуля минус пятьсот... Минус на минус дало плюс и его счет увеличился на 500р при покупке товара. Потом он заказал вывод средств и программа в автоматическом режиме перевела деньги на его кошелек.

К тому времени я уже забросил этот сайт.. Больше года им не занимался, и решил просто отдать его тому парню... Он согласился, но видимо ему сайт быстро надоел и уже через пару месяцев он перестал существовать.

381

Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью

Развернуть
Источник - Хабрахабр

На волне новостей чип-апокалипсиса 2018 года, когда взломано почти всё, а сайты мировых брендов, сами того не подозревая, майнят в наших браузерах криптовалюту, мы решили покуситься на святая святых и взломать документы, подписанные усиленной квалифицированной электронной подписью. И вот что из этого вышло.
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Как известно, усиленная квалифицированная электронная подпись (ЭП) позволяет определить лицо, подписавшее документ, и обнаружить факт внесения изменений в документе (см. ст. 5, п. 3 Федерального закона № 63 «Об электронной подписи»). Алгоритм генерации коллизий хеш-функции в этот раз нам не понадобится. Для взлома надо найти способы внесения изменений в электронный документ после его подписания, так, чтобы эти изменения не были обнаружены при проверке ЭП. Начнём.

Сценарий с документом DWG, вектор атаки — внешние ссылки


Здесь и далее предполагается, что в системе уже установлен сертификат квалифицированной электронной подписи:

Создаём документ HVAC.dwg, который ссылается на файл nothing.dwg, расположенный на шаре в локальной сети предприятия. Файл nothing.dwg содержит выноски на оборудование Поставщика А;

Отправляем HVAC.dwg на согласование ответственному лицу;

С помощью программы «Autodesk→AutoCAD→Добавление цифровых подписей» ответственное лицо подписывает HVAC.dwg. Теперь это электронный подлинник:
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Реализуем атаку:

Нужно заменить оборудование Поставщика А на оборудование Поставщика Б изменением nothing.dwg, расположенного на сетевом ресурсе;

Отдел снабжения получает электронный подлинник HVAC.dwg, руководитель отдела проверяет целостность электронной подписи, она не нарушена, а AutoCAD развеивает последнюю тень сомнения успокаивающей надписью «Чертеж не изменился с момента подписания», поэтому вместо Поставщика А заказ на оборудование уходит к Поставщику Б
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Сценарий с документом DOC/DOCX, вектор атаки — шрифт


В этот раз будем использовать наиболее продвинутый комплекс защиты информации КриптоПро CSP 4.0, соответствующий стандарту ГОСТ Р 34.10-2012:

Создаём приказ о премировании сотрудников prikaz.docx. Основной текст набираем шрифтом Arial. Для размера премии используем похожий шрифт, например, бесплатный Noto Sans Regular от Google. Вводим согласованный с директором размер премии 150 000 руб.;

Устанавливаем шрифт Noto Sans Regular на компьютер директору и бухгалтеру (понадобятся права администратора);

Отправляем приказ на подпись директору;

Директор подписывает prikaz.docx усиленной квалифицированной ЭП с помощью КриптоПро Office Signature 2.0. Получаем электронный подлинник:
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Реализуем атаку:

С помощью бесплатной программы FontForge модифицируем файл шрифта NotoSans-Regular.ttf, заменив векторное изображение глифа 1 на изображение глифа 2
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Модифицированный NotoSans-Regular.ttf файл заменяем на компьютере бухгалтера [и ждём премию];

Получив подписанный директором подлинник приказа, бухгалтер открывает его и видит действительную подпись. Но размер премии увеличился со 150 000 руб. до 250 000 руб. Здесь важно знать меру, можно было заменить 1 на 9, но это будет слишком заметно.
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Это эффективные, но не единственные способы атаки. Есть еще макросы, вычисляемые значения полей, стили. Не защитит от них ни использование системы управления данными (PDM), ни откреплённые подписи, ни применение специализированных криптографических комплексов типа КриптоПро CSP.

Как же обеспечить защиту от такого рода атак? Самый эффективный способ — публиковать документы в нередактируемый формат или формат фиксированной разметки. Эти форматы нацелены на сохранение первоначального вида документа на любом устройстве, в любой точке мира. Вот наиболее распространённые представители форматов фиксированной разметки:

PDF (Portable Document Format) — разработан компанией Adobe. Стандарт ISO 32000;

XPS (XML Paper Specification) — разработан компанией Microsoft. Стандарт ECMA-388;

DWFx — разработан компанией Autodesk. Основан на XPS.

Но и здесь не всё так однозначно. Попробуем провести атаку через шрифт на подписанный PDF-документ:

Документ prikaz.docx опубликуем в PDF, например, с помощью виртуального принтера PDF-XChange. Полученный файл prikaz.pdf отправляем на подпись директору;

Директор открывает документ prikaz.pdf в программе Adobe Acrobat Reader DC;

Подписывает командой "Поставить цифровую подпись" в разделе "Сертификаты".

Подписанный PDF отправляется бухгалтеру.

Реализуем атаку:

Так же как и в сценарии с форматом DOCX устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;

Получив подписанный prikaz.pdf, бухгалтер открывает его в Adobe Reader и видит размер премии 250 000 руб., целостность подписи при этом не нарушена
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Для PDF удалось реализовать данный вид атаки потому, что этот формат допускает использование шрифтов по ссылке, поэтому он не подходит для создания подлинников.Существует стандарт PDF/A (подмножество PDF), который обеспечивает необходимую защиту. Поэтому перед подписанием каждого PDF необходимо убедиться, что документ соответствует стандарту PDF/A или отсутствуют зависимости от шрифтов.

Форматы DWFx и XPS не подвержены такого рода атакам, так как на уровне стандарта ECMA-388 регламентируется хранение ресурсов внутри содержательной части документов (F.3.1 M2.6). Но DWFx не подходит для создания многостраничных текстовых документов, поэтому наиболее универсальным вариантом является XPS.

Попробуем по аналогии с PDF провести атаку через шрифт на подписанный XPS-документ:

Документ prikaz.docx опубликуем в XPS с помощью встроенного в Windows виртуального принтера Microsoft XPS Document Writer. Полученный файл prikaz.xps отправляем на подпись директору;

Директор открывает документ prikaz.xps в программе Pilot-ICE или в Pilot-XPS. Подписывает командой «Подписать» через КриптоПро CSP;

Подписанный XPS отправляется бухгалтеру.

Реализуем атаку:

Устанавливаем бухгалтеру модифицированный шрифт NotoSans-Regular.ttf;

Получив подписанный prikaz.xps, бухгалтер открывает его в Pilot-ICE, проверяет целостность ЭП и видит тот же размер премии, который был на момент подписания документа — 150 000 руб. Атака на XPS не удалась.
Увеличиваем себе премию в два раза, или как взломать документы, подписанные усиленной квалифицированной подписью
Итоги

Усиленная квалифицированная электронная подпись по прежнему является надёжной технологией для обнаружения факта внесения изменений в документ. Но следует комплексно оценивать эффективность её применения. Эксперимент показал, что редактируемые форматы DWG, DOC, DOCX не подходят для создания электронных подлинников, так как могут быть легко скомпрометированы. Более защищенными и универсальными для создания подлинников являются форматы PDF/А и XPS, так как они содержат всю необходимую информацию для того, чтобы каждый раз отображать документ в неизменном виде.

Дмитрий Поскребышев
5757

Опубликована уязвимость у всех российских сотовых операторов, позволяющая узнать номер, IMEI и местоположение абонента.

Развернуть
Источник - ЯПлакалЪ

Известный ресурс для айтишников в рунете - хабрахабр уже начал гудеть от опубликованной там сегодня в обед статьи "DPI мобильных операторов: от бесплатного интернета до раскрытия номера и местоположения".
Так как ресурс, что называется, "не для всех" и информация, изложенная в той статье, наверняка прошла бы мимо 99% читателей и пользователей сотовой связи, я бы хотел кратко и более доступным языком объяснить какой лютый треш сегодня на самом деле был обнародован!
Гениальный чувак, автор той статьи, сумел разобраться с тем, как сотовые операторы внедряют свои служебные заголовки в открываемые абонентами сотовых операторов страницы различных служебных сайтов сотовых операторов и научился модифицировать эти заголовки таким образом, чтобы при заходе на сайт вообще не принадлежащий сотовому оператору, от абонента на этот сайт отдавались следующие данные:

1) номер телефона абонента, закрепленный за SIM-картой, с которой происходит выход в интернет при заходе на такой злонамеренный сайт.
2) в некоторых случаях IMEI устройства.
3) при некоторых условиях - местоположения абонента по идентификаторам базовой станции, на которой сейчас работает абонент.
4) иные данные.

Кроме того, автор той статьи научился таким образом модифицировать заголовки своих запросов, что есть возможность попадать в личные кабинеты чужих номеров и работать в чужих Личных кабинентах с чужими номерами как со своими, а также получать бесплатный доступ в интернет при нулевом или отрицательном балансе.
Особо подчеркну, что никакие соксы и прокси, vpn, ssh и т.д. и т.п. пока на данный момент не помогут защититься от раскрытия указанных данных!
На самом хабрахабре уже опубликована ссылка на тестовый сайт, при заходе на который любой абонент МТС тут же увидит свой номер и получит входящий звонок. Можете попробовать сами!
Прошу оценить ситуацию: простой заход на тестовый сайт, не имеющий никакого отношения к доменам сотовых операторов и Вы деанонимизированы.
Как пишет автор статьи, дыра лишь частично закрыта сотовыми операторами с 2016 года, но большая часть уязвимостей не закрыта по текущий день.
Даже страшно себе представить, какой простор для мошеннических схем сейчас будет открыт...
Хабрахабр
2746

Как Билайн (не) чинит уязвимости

Развернуть
Примерно год назад я случайно обнаружил Open Redirect на сайте Билайна, вот он:
https://identity.beeline.ru/identity/LoadProtectedResource?redirectUrl=https://pikabu.ru
Как Билайн (не) чинит уязвимости
И сообщил о нём по почте pomogite@beeline.ru, а так же в ЛС паблику Билайна ВК. Мне ответили и заверили, что вся информация передана специалистам.

Изначально я надеялся на вознаграждение, ведь это вполне серьёзная уязвимость, за которую на HackerOne некоторые компании выплачивают от 100 до 500 долларов США.

Суть её заключается в том, что злоумышленник-спамер может рассылать фишинговые сообщения или письма и жертва будет видеть identity.beeline.ru в начале, а сама фишинговая ссылка будет в конце, таким образом доверие к ссылке возрастает, ведь это сайт Билайна. Хотя там и есть 5-секундное ожидание перед редиректом.

Примерно через полгода я написал в Билайн ещё раз и мне сказали, что специалисты до сих пор занимаются проблемой (а ведь пофиксить её, добавив в скрипт редиректа исключения только для ресурсов Билайна, проще простого), а так как официальной Bug Bounty программы у Билайна нет (кто бы сомневался), то я просто забил и забыл.

Но всё изменилось примерно три недели назад, когда я обнаружил сайт OpenBugBounty, на котором выкладывают найденные уязвимости в открытый доступ, даже до их фикса. Я вбил в поиск beeline.ru и обнаружил, что на уязвимости в Билайне клали огромный такой болт.

Первая же уязвимость, которая там есть, датирована 25 октября 2015 года, и это тоже Open Redirect, но гораздо лучше, чем мой, ведь там нет 5-секундного ожидания перед редиректом:
http://a.beeline.ru/a?p=166&b=1455&url=https://pikabu.ru

Далее следует Reflected XSS на whois.beeline.ru, отрепорченная 6 июля 2016 года:
http://whois.beeline.ru/?q=xxxx%27><script>alert`Билайн%20воз%20хакд`</script>
Как Билайн (не) чинит уязвимости
Это серьёзная уязвимость, позволяющая воровать кукисы или встраивать вредоносные скрипты, если жертва перешла по ссылке, а так как это домен *.beeline.ru, то можно своровать кукисы от личного кабинета.

Следующая уязвимость - это тоже Reflected XSS, репортнули её 1 июня 2017 года и в этот раз она активируется на любом "городском" поддомене *.beeline.ru:
http://beeline.ru/customers/products/#?test-'></script><svg onload=alert('Билайн_воз_хакд')>
Как Билайн (не) чинит уязвимости
К счастью "специалистов" Билайна, самый популярный браузер Google Chrome (и всё, что на Chromium, скорее всего) имеет встроенный блокировщик XSS и чтобы воспроизвести описанные здесь XSS'ки, я дописал в ярлык браузера:

--disable-xss-auditor

Но, например, на Mozilla Firefox эти XSS'ки срабатывали и на свежеустановленном браузере, без всякой настройки.

Я являюсь пользователем домашнего интернета от Билайна с 2008 года (тогда ещё Corbina), а мобильной связи примерно с 2010 года, и у меня дико бомбит от такого пофигизма, когда дело касается таких серьёзных проблем в безопасности ресурсов, которыми пользуются миллионы людей.
1580

Новость №386: Миллиарды устройств оказались уязвимы для взлома через Bluetooth

Развернуть
Новость №386: Миллиарды устройств оказались уязвимы для взлома через Bluetooth
http://news.nplus1.ru/p2KP
637

Новость №198: Хакерам удалось пробраться в компьютер через субтитры к фильмам

Развернуть
Новость №198: Хакерам удалось пробраться в компьютер через субтитры к фильмам
http://news.nplus1.ru/tbGc
4062

Кассета

Развернуть
Однажды, после школы, мы с друзьями шли домой и решили зайти в магазин, поглазеть на витрину с видеокассетами. Всего было 2 стеклянных шкафа-витрины, придвинутых углами друг к другу. Было много крутых фильмов: "Гарри Поттер и филосовский камень", "Властелин колец: братство кольца" и т.д, но, я заметил, что как раз на стыке углов стоит кассета "Шрек" и зазор между стыками аккурат в 2 кассеты. Я говорю "пацаны! Смотрите!" и просто вытаскиваю "Шрека" с витрины.  Пацаны в шоке, в восторге и т.д. но, я подошел к продавцу, показал кассету, сказал что она теперь моя мне удалось вытащить ее "вот в этом месте", и нужно как то это место заклеить. Продавец не был зол, сказал "Поняяятно", потом положил свои деньги в кассу, отбил чек, вручил его и "Шрека" мне со словами "Вот, держи, спасибо."
Это был первый и единственный раз, когда мне заплатили за найденную уязвимость в системе безопасности мультимедийного сегмента.
P.S. На следующий день, витрины стояли стык-в-стык))
1938

О недавнем взломе пикабу

Развернуть
О недавнем взломе пикабу