Gördüğün en kötü güvenlik açığı? [kapalı]

Gördüğün en kötü güvenlik açığı nedir? Suçluyu korumak için detayları sınırlı tutmak muhtemelen iyi bir fikirdir.

Ne 's değerinde olması açısından belli değil soru bir güvenlik delik bulmak ne yapmanız gerektiği konusunda ve başka bazı yararlı cevaplardan oluşan bir şirket değil cevap (görünüyor) eğer.

Çevrimiçi mağazaların ilk günlerinden itibaren:

Alışveriş sepetinin miktar alanına .1 girerek% 90 indirim. Yazılım, toplam maliyeti .1 * maliyet olarak düzgün bir şekilde hesapladı ve siparişi veren insan sadece tek "." paketlenecek miktarın önünde :)

En az affedilebilen güvenlik açığı ve ne yazık ki çok yaygın ve bulunması kolay bir güvenlik açığı olan Google hack'tir . Konuşma konusu olan mesele:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

İnternetteki kaç sayfanın, özellikle devlet sitelerinin, sorgu dizesi üzerinden bir SQL sorgusu geçirmesi şaşırtıcı. SQL enjeksiyonunun en kötü biçimidir ve savunmasız siteleri bulmak hiç çaba sarf etmez.

Küçük ayarlarla phpMyAdmin'in korumasız kurulumlarını, MySQL'in korumasız kurulumlarını, kullanıcı adlarını ve şifreleri içeren sorgu dizelerini vb. Bulabildim.

Sosyal mühendislik:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

Gönderen bash.org

Microsoft'ta ilk günlerimin gerçek hikayesi.

Uyandığınız güne kadar korkuyu bilmiyordunuz ve o sabah ZDNet.com'daki başlığı " Altı" önceden kod yazdığınız "Blah" da " En Kötü Internet Explorer Güvenlik Deliği Keşfedildi " .

Çalışmaya başladıktan hemen sonra değişiklik günlüklerini kontrol ettim ve başka bir ekipten birinin - üründe değişiklik yapmak için güvendiğimiz birinin - kodumu kontrol ettiğini, güvenlik kayıt defteri ayarlarının bir demetini iyi bir sebep olmaksızın değiştirdiğini keşfettim, geri teslim ve asla bir kod inceleme var veya kimseye bu konuda söyledi. Bugüne kadar dünyada ne yaptığını düşündüğü hakkında hiçbir fikrim yok; kısa süre sonra şirketten ayrıldı. (Kendi isteğiyle.)

(GÜNCELLEME: Yorumlarda dile getirilen sorunlara birkaç yanıt:

İlk olarak, güvenlik anahtarı değişikliklerinin kasıtlı değil, kötülükten veya dikkatsizlikten ziyade kötülükten ziyade hayır amaçlı olmayı tercih ettiğimi unutmayın. Şu ya da bu şekilde hiçbir kanıtım yok ve hataları insanın yanıltıcılığına atfetmenin akıllıca olduğuna inanıyorum.

İkincisi, iade sistemlerimiz şimdi on iki yıl öncesine göre çok, çok daha güçlü. Örneğin, artık değişiklik sistemi ilgili taraflara e-posta göndermeden check-in kodu mümkün değildir. Özellikle, gemi çevriminin sonlarında yapılan değişikliklerin çevresinde, ürünün stabilitesini ve güvenliğini sağlamak için doğru değişikliklerin yapılmasını sağlayan birçok "süreç" vardır.)

Her neyse, hata, Internet Explorer'dan kullanımı güvenli OLMAYAN bir nesnenin yanlışlıkla "komut dosyası oluşturma için güvenli" olarak işaretlenmiş olmasıydı. Nesne, ikili dosyaları - aslında OLE Otomasyon tipi kitaplıkları - keyfi disk konumlarına yazma yeteneğine sahipti. Bu, bir saldırganın belirli düşmanca kod dizeleri içeren bir tür kitaplığı oluşturabileceği, bilinen bir yürütülebilir konum olan bir yola kaydedebileceği, bir komut dosyasının çalışmasına neden olacak bir şeyin uzantısını verebileceği ve bir şekilde kullanıcının yanlışlıkla kodu çalıştırır. Bu güvenlik açığını kullanan başarılı bir "gerçek dünya" saldırısı bilmiyorum, ancak bu güvenlik açığından yararlanılabilecek bir saldırı gerçekleştirmek mümkün oldu.

Bunun için hızlıca bir yama gönderdik, size söyleyeyim.

JScript'te çok daha fazla güvenlik açığına neden oldum ve düzelttim, ancak hiçbiri tanıtımın yakınında herhangi bir yere ulaşmadı.

Umarım burada neyin yanlış olduğunu görebilirsiniz. (Aslında çok yanlış):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

Son alıcı en mutlu olanıydı;)

Eski IBM System 36 aptal terminallerinde, makro kaydına başlayan bir klavye kombinasyonu vardı. Böylece bir terminal giriş yapmadığında, bir makro kaydına başlayabilir ve o konumda bırakabilirsiniz. Bir sonraki oturum açışında, tuş vuruşları makroya kaydedilir ve izin verilen maksimum tuşlar kaydedildiğinde kayıt otomatik olarak sona erer. Daha sonra tekrar gelin ve makroyu otomatik oturum açmak için yeniden oynatın.

Gördüğüm en kötü güvenlik açığı gerçekten sizinki tarafından kodlandı ve Google Bot'un tüm veritabanımı silmesine neden oldu.

Klasik ASP'yi ilk öğrendiğimde, kendi temel blog uygulamamı kodladım. Tüm yönetici komut dosyalarının bulunduğu dizin, IIS'de NTLM tarafından korunuyordu. Bir gün yeni bir sunucuya geçtim ve IIS'deki dizini yeniden korumayı unuttum (ayy).

Blog ana sayfasında ana yönetici ekranına bir bağlantı vardı ve ana yönetici ekranında her kayıt için bir DELETE LINK vardı (onay olmadan).

Bir gün veritabanındaki her kaydı silindim (yüzlerce kişisel giriş). Bazı okuyucuların siteye girdiğini ve her kaydı kötü bir şekilde sildiğini düşündüm.

Günlüklerden öğrenmeye geldim: Google Bot siteyi taradı, yönetici bağlantısını izledi ve tüm DELETE LINKS'i takip etmeye devam etti, böylece veritabanındaki her kaydı sildi. Google Bot tarafından yanlışlıkla ele geçirilen Yılın Dumbass ödülünü hak ettiğimi hissettim.

Neyse ki yedek aldım.

Gördüğüm en kötü delik, bir web uygulamasında boş bir kullanıcı adı ve şifre vermenin sizi yönetici olarak oturum açacağı bir hataydı :)

Bir kez bunu bir web sitesinin URL'sinde fark ettim.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

Son parametreyi admin = 1 olarak değiştirmek bana yönetici ayrıcalıkları verdi. En azından kullanıcı girişine körü körüne güvenecekseniz, yaptığınız telgrafı kullanmayın!

Bunu Daily WTF'de gördüm .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

Hiçbir şey bu IMHO'yu yenemez.

İsimsiz kalacak olan bir üniversitede, tüm eylem sorguları gönderilen form yerine URL'den geçirilmiştir.

Google Bot gelip tüm URL'lerini yayınlayıp veritabanlarını silene kadar bir şey işe yaradı.

Kimse sosyal mühendislik getirmedi şaşırttı, ama bu yazı bir tekme aldım .

Özet: Kötü niyetli kullanıcılar birkaç düzine flash sürücü satın alabilir, bunları otomatik çalışan bir virüs veya truva atı ile yükleyebilir, daha sonra bahsedilen flash sürücüleri bir şirketin otoparkına gece geç saatlerde serpebilir. Ertesi gün, herkes işe çıkıyor, parlak, şeker şeklinde, karşı konulmaz bir donanıma rastlıyor ve "oh vay, ücretsiz flash sürücü, üzerinde ne olduğunu merak ediyorum!" - 20 dakika sonra tüm şirketin ağı barındırılıyor.

"Pedo mellon a minno" , "Arkadaşını konuş ve gir", Moria'nın kapılarında.

Microsoft Bob
(Kredi: Dan'ın 20. Yüzyıl Abandonware )

Şifrenizi üçüncü kez yanlış girerseniz, şifrenizi unutup unutmadığınız sorulur.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

Ancak girilene kadar doğru şifreyi sormaya devam etmek veya bir dizi yanlış denemeden sonra sizi kilitlemek gibi güvenlik yerine, herhangi bir yeni şifre girebilirsiniz ve orijinal şifrenin yerini alacaktır! Herkes bunu herhangi bir parola "korumalı" Microsoft Bob hesabı ile yapabilir.

Önceden kimlik doğrulaması gerekmez. Kullanıcı1 kendi parolalarını sadece üç kez parolalarını yanlış yazıp dördüncü kez yeni bir parola girerek değiştirebilir - asla "parola değiştir" kullanmak zorunda kalmaz.

Ayrıca, Kullanıcı1'in Kullanıcı2, Kullanıcı3 ... 'ün şifrelerini de aynı şekilde değiştirebileceği anlamına gelir. Herhangi bir kullanıcı, diğer kullanıcıların parolasını yalnızca üç kez yanlış yazıp istendiğinde yeni bir parola girerek değiştirebilir ve daha sonra hesaba erişebilir.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

Joe X'in eski ev adresini aldım ve aynı şehirdeki yeni adresini bilmem gerekiyordu, ancak onunla iletişime geçmenin bir yolu yoktu. Her zamanki günlük mail order kataloglarını aldığını düşündüm, bu yüzden keyfi olarak See's Candies için 800 numarasını aradım (Victoria's Secret, İsviçre Kolonisi veya diğer büyük postacıların aksine):

Ben: "Merhaba, ben Joe X. Sanırım beni hem eski adresime hem de yeni adresime posta listenizde iki kez eklediniz. Bilgisayarınız beni [eski adres] 'e veya [sahte adres]' e gösteriyor mu ?"

Operatör: "Hayır, size [yeni adres] 'te gösteriyoruz."

Verilmesi = 1 1 bir metin kutusu içinde tüm kullanıcılar listelerinde sisteminde.

Yaşamak için bir uygulama güvenlik danışmanı olarak, bir şey aracılığıyla bir web sitesinde yönetici almanıza izin veren birçok yaygın sorun var. Ama gerçekten harika olan kısım, bir milyon dolarlık çorap satın alabileceğiniz.

Bu konserde çalışan bir arkadaşımdı, ancak jist, şu anda çok popüler bir çevrimiçi kitap (ve diğer her şey) dükkanındaki ürünlerin fiyatlarının gizli bir alan olarak HTML'de saklanmasıydı. İlk günlerde bu hata bir çok çevrimiçi mağazayı ısırdı, sadece web'i anlamaya başlamışlardı. Çok az güvenlik bilinci, yani gerçekten HTML'yi indirecek, gizli alanı düzenleyecek ve siparişi yeniden gönderecek?

Doğal olarak fiyatı 0 olarak değiştirdik ve 1 milyon çift çorap sipariş ettik. Ayrıca fiyatı negatif olarak değiştirebilirsiniz, ancak bunu yapmak arka uç faturalandırma yazılımı arabellek taşması işleminin bir kısmını bitirdi.

Başka bir seçim yapabilseydim, web uygulamalarında yol standartlaştırma sorunları olurdu. Foo.com?file=../../../../etc/passwd yapabilmek harika

Veritabanı kök parolasını kazara kaynak denetimine alma. Oldukça kötüydü, çünkü Sourceforge üzerinde kaynak kontrolü vardı.

Parolanın çok hızlı değiştiğini söylemeye gerek yok.

Önemli BT çalışanları şirketten ayrıldığında yönetici şifrelerini değiştirmemek.

Bu şimdiye kadar gördüğüm en kötü güvenlik deliği olmamasına rağmen. Ama bu en azından kendimi keşfettiğim en kötü şey:

Sesli kitaplar için oldukça başarılı bir çevrimiçi mağaza, başarılı kimlik doğrulamasından sonra geçerli kullanıcının kimlik bilgilerini saklamak için bir çerez kullandı. Ancak, çerezdeki kullanıcı kimliğini kolayca değiştirebilir ve diğer hesaplara erişebilir ve bunlardan satın alabilirsiniz.

.Com döneminin başında yurtdışında büyük bir perakendeci için çalışıyordum. Rakiplerimiz bizden aylar önce bir çevrimiçi mağaza açtıklarından büyük ilgi gördük. Tabii ki, denemek için gittik ... ve hızlı bir şekilde alışveriş arabaları karıştığını fark etti. Sorgu dizesiyle biraz oynadıktan sonra birbirimizin oturumlarını ele geçirebileceğimizi fark ettik. İyi zamanlama ile, teslimat adresini değiştirebilir, ancak ödeme yöntemini tek başına bırakabilirsiniz ... bunların hepsini sepeti en sevdiğiniz ürünlerle doldurduktan sonra yapabilirsiniz.

Şu anda çalıştığım şirkete ilk katıldığımda, patronum yeni bir potansiyel müşterinin mevcut e-ticaret web sitesine bakıyordu. Bu, hem IIS'nin hem de e-ticaretin oldukça erken günlerinde gerçekleşti ve güvenlik, daha katı olmalıydı.

Uzun bir hikaye kısaltmak için bir URL'yi değiştirdi (sadece meraktan) ve dizin taramasının kapatılmadığını fark etti, böylece sayfa adını URL'nin sonundan kesip tüm dosyaları görebilirsiniz. Web sunucusu.

İndirdiğimiz bir Access veritabanı içeren bir klasöre göz attık. Binlerce şifrelenmemiş kredi kartı numarasıyla doldurulan tüm e-ticaret müşteri / sipariş veritabanıydı.

İnsanlar gönderme onların şifrelerini üzerinde kamu web siteleri ...

13 yaşındayken okulum öğrenciler için bir sosyal ağ açtı. Maalesef onlar için URI'yi "? UserID = 123" gibi başka bir kullanıcı kimliği ile değiştirebileceğiniz ve o kullanıcı için oturum açabileceğiniz bir güvenlik hatası buldum. Açıkçası arkadaşlarıma söyledim ve sonunda okulların sosyal ağı porno ile doluydu.

Olsa tavsiye etmem.

Süper kullanıcı erişimi için boş kullanıcı adı / şifre alanının çok kötü olduğunu düşünüyorum. Ama kendimi gördüğüm

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

Çok kötü bir operatör böyle büyük bir fark yaratır.

Benim müşterim olduğum bir banka için olurdu. Oturum açamadım, bu yüzden müşteri hizmetlerini aradım. Benden kullanıcı adımı istediler ve başka bir şey istemediler - herhangi bir güvenlik sorusu sormadılar veya kimliğimi doğrulamaya çalışmadılar. Ardından, dosyada bulunan e-posta adresine bir şifre sıfırlama göndermek yerine, bana hangi e-posta adresini göndereceğini sordular. Onlara dosyadakilerden farklı bir adres verdim ve şifremi sıfırlayabildim.

Aslında, bir bilgisayar korsanının tek ihtiyacı olan benim kullanıcı adımdır ve o zaman hesabıma erişebilir. Bu, Birleşik Devletler'deki insanların en az% 90'ının duyacağı büyük bir banka içindi. Bu yaklaşık iki yıl önce oldu. Kötü eğitimli bir müşteri hizmetleri temsilcisi mi yoksa standart prosedür olup olmadığını bilmiyorum.

Oluşturduğum birini paylaşacağım. Biraz.

Yıllar ve yıllar ve yıllar önce çalıştığım şirket ASP web sitelerinde endeksleme yapmak istiyordu. Yani kapalı gitti ve Index Server kurdu, birkaç yönetici dizinleri hariç tuttu ve her şey iyiydi.

Ancak bana bilinmeyen biri, web sunucusuna bir satış elemanı ftp erişimi vermişti, bu yüzden evden çalışabiliyordu, bu çevirmeli günlerdi ve dosyaları değiştirmenin en kolay yoluydu .... ve bir şeyler yüklemeye başladı, hizmetlerimizdeki işaretlemeyi detaylandıran belgeler dahil .... hangi dizin sunucusunun dizine eklendiği ve kullanıcılar "Maliyetler" aradığında sunmaya başladı.

Kara listeleri değil, çocukları, beyaz listeleri hatırlayın.

En basit, ama gerçekten maliyete değer olanlardan biri:

PayPal gibi motorları kullanan ödeme sistemleri kusurlu olabilir çünkü ödeme başarılı olduktan sonra PayPal'dan gelen yanıt olması gerektiği gibi kontrol edilmez.

Örneğin:

Bazı CD satın alma web sitesine gidebilir ve sepete bir miktar içerik ekleyebilirim, ardından ödeme aşamalarında genellikle sayfada paypal alanlarıyla doldurulmuş bir form ve "Pay" için bir gönderme düğmesi bulunur.

DOM Editör I kullanma formu "canlı" gidip gelen değerini değiştirebilir £899.00için£0.01 ve ardından gönder'i tıklayabilirim ...

Şeylerin PayPal tarafında olduğumda, miktarın 1 kuruş olduğunu görebiliyorum, bu yüzden ödüyorum ve PayPal bazı parametreleri ilk satın alma sitesine yönlendiriyor. payment_status=1 ve ödenen tutarı doğrulayın.

Bu, yeterli günlük kaydı yoksa veya ürünler otomatik olarak gönderildiyse maliyetli olabilir.

En kötü site, uygulama, yazılım, müzik vb. Sunan sitelerdir.

Hatırlayabileceğiniz her güvenlik iznini ayarlamaya izin veren çevrimiçi bir belge yöneticisine ne dersiniz ...

İndirme sayfasına gidene kadar ... download.aspx? DocumentId = 12345

Evet, documentId veritabanı kimliğiydi (otomatik artış) ve her bir sayıyı döngüye sokabilirsiniz ve herkes tüm şirket belgelerini alabilir.

Bu sorun için uyarıldığında, proje yöneticisi yanıtı şuydu: Tamam, teşekkürler. Ama kimse bunu daha önce fark etmemişti, hadi olduğu gibi tutalım.

Bir Norveç pizza teslimi , yeni ve parlak internet portalında negatif miktarda pizza sipariş edebileceğiniz ve ücretsiz olarak alabileceğiniz bir güvenlik deliğine sahipti .