Худшая дыра в безопасности, которую вы видели? [закрыто]

Какую самую худшую дыру в безопасности вы когда-либо видели? Вероятно, хорошей идеей будет ограничивать детали для защиты виновных.

Для чего это стоит, вот вопрос о том, что делать, если вы обнаружите дыру в безопасности, и другой с некоторыми полезными ответами, если компания (кажется) не отвечает.

С первых дней работы интернет-магазинов:

Получите скидку 90%, введя .1 в поле количества в корзине. Программное обеспечение правильно рассчитало общую стоимость как .1 * стоимость, и человек, упаковывающий заказ, просто затмил нечетное "." перед количеством упаковать :)

Наименее прощаемая дыра в безопасности, и, к сожалению, очень распространенная и ее легко найти, это взлом Google . Дело в точке:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

Удивительно, сколько страниц в Интернете, в частности правительственных сайтов, пропускают SQL-запрос через строку запроса. Это худшая форма внедрения SQL-кода, и для поиска уязвимых сайтов не требуется никаких усилий.

С небольшими изменениями я смог найти незащищенные установки phpMyAdmin, незащищенные установки MySQL, строки запросов, содержащие имена пользователей и пароли, и т. Д.

Социальная инженерия:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

С bash.org

Правдивая история из моих первых дней в Microsoft.

Вы не знали страха до того дня, как проснулись и увидели заголовок на ZDNet.com этим утром: «Наихудшая дыра в безопасности Internet Explorer, обнаруженная в« Бла », где« Бла »- это код, который вы написали сами шесть месяцев назад. ,

Сразу после начала работы я проверил журналы изменений и обнаружил, что кто-то из другой команды - кто-то, кому мы доверяли вносить изменения в продукт - проверил мой код, изменил кучу параметров ключа реестра безопасности без веской причины, проверил это, и никогда не получал обзор кода и никому не говорил об этом. По сей день я понятия не имею, что, черт возьми, он думал, что делал; он покинул компанию вскоре после этого. (По его собственному желанию.)

(ОБНОВЛЕНИЕ: несколько ответов на вопросы, поднятые в комментариях:

Во-первых, обратите внимание, что я предпочитаю занять благотворительную позицию, что изменения ключа безопасности были непреднамеренными и основаны на небрежности или незнании, а не на злобе. У меня нет доказательств, так или иначе, и я считаю, что разумно приписывать ошибки человеческим ошибкам.

Во-вторых, наши системы регистрации намного, намного сильнее, чем они были двенадцать лет назад. Например, теперь невозможно зарегистрировать код, если система регистрации не отправит заинтересованным сторонам список изменений. В частности, изменения, внесенные в конце цикла корабля, связаны с большим количеством «процессов», которые обеспечивают правильные изменения для обеспечения стабильности и безопасности продукта.)

В любом случае, ошибка заключалась в том, что объект, который НЕ был безопасен для использования из Internet Explorer, был случайно выпущен как помеченный как «безопасный для сценариев». Объект был способен записывать двоичные файлы - фактически, библиотеки типов OLE Automation - в произвольные места на диске. Это означало, что злоумышленник может создать библиотеку типов, содержащую определенные строки враждебного кода, сохранить ее по пути, известному как исполняемый файл, дать ему расширение чего-либо, что может привести к выполнению сценария, и надеяться, что пользователь каким-то образом случайно запустит код. Я не знаю ни одной успешной атаки в "реальном мире", в которой использовалась эта уязвимость, но с ней можно было создать рабочий эксплойт.

Мы отправили патч довольно быстро, позвольте мне сказать вам.

Я вызвал и впоследствии исправил еще много дыр в безопасности в JScript, но ни одна из них никогда не была так близка к публичности, как одна.

Я надеюсь, что вы можете определить, что здесь не так. (На самом деле ужасно неправильно)

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

Последний получатель был самым счастливым;)

Старые немые терминалы IBM System 36 имели комбинацию клавиатуры, которая начинала запись макроса. Поэтому, когда терминал не был зарегистрирован, вы можете начать запись макроса и оставить его в этом положении. В следующий раз, когда кто-то войдет в систему, нажатия клавиш будут записаны в макрос, и запись будет завершена автоматически, когда будет записано максимально допустимое количество клавиш. Просто вернитесь позже и повторите макрос для автоматического входа.

Самая худшая дыра в безопасности, которую я когда-либо видел, на самом деле была действительно закодирована вами и заставила Google Bot удалить всю мою базу данных.

Когда я впервые изучал Classic ASP, я написал свое собственное приложение для блогов. Каталог со всеми сценариями администратора был защищен NTLM на IIS. Однажды я переехал на новый сервер и забыл повторно защитить каталог в IIS (упс).

На домашней странице блога была ссылка на главный экран администратора, а на главном экране администратора была УДАЛЕННАЯ ССЫЛКА для каждой записи (без подтверждения).

Однажды я обнаружил, что все записи в базе данных удалены (сотни личных записей). Я думал, что какой-то читатель проник на сайт и злонамеренно удалил каждую запись.

Я пришел, чтобы узнать из журналов: робот Google сканировал сайт, следовал по ссылке администратора и продолжал следовать всем УДАЛЕННЫМ ССЫЛКАМ, удаляя тем самым каждую запись в базе данных. Я чувствовал, что заслужил награду Dumbass of the Year, случайно скомпрометированную ботом Google.

К счастью, у меня были резервные копии.

Наихудшей дырой, которую я когда-либо видел, была ошибка в веб-приложении, в которой при вводе пустого имени пользователя и пароля вы входили в систему как администратор :)

Однажды заметил это на URL сайта.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

Изменение последнего параметра на admin = 1 дало мне права администратора. Если вы собираетесь слепо доверять пользовательскому вводу, по крайней мере, не сообщайте, что вы это делаете!

Я видел это в The Daily WTF .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

Ничто не может победить это ИМХО.

В университете не меньше, который останется безымянным, все свои запросы к действию передаются через URL, а не через форму.

Эта штука работала, пока не появился Google Bot, не просмотрел все их URL и не стер их базу данных.

Удивило, что никто не поднял социальную инженерию, но я получил удовольствие от этой статьи .

Резюме: злоумышленники могут купить несколько десятков флеш-накопителей, загрузить их автоматически запускаемым вирусом или трояном, а затем высыпать указанные флешки на стоянку компании поздно ночью. На следующий день все приходят на работу, натыкаются на блестящее, похожее на конфету, неотразимое железо и говорят себе: «Ух ты, свободная флешка, интересно, что там!» - 20 минут спустя вся сеть компании работает.

«Pedo mellon a minno» , «Поговори с другом и войди», у ворот Мории.

Microsoft Боб
(Фото: Дэна 20-го века Abandonware )

Если вы ввели неверный пароль в третий раз, вас спросят, забыли ли вы пароль.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

Но вместо обеспечения безопасности, например, продолжая запрашивать правильный пароль до тех пор, пока он не будет введен, или заблокировать вас после нескольких неправильных попыток, вы можете ввести любой новый пароль, и он заменит оригинальный! Любой может сделать это с помощью любой защищенной паролем учетной записи Microsoft Bob.

Предварительная аутентификация не требуется. Это означает, что Пользователь1 может изменить свой собственный пароль, просто трижды набрав неверный пароль, а затем в четвертый раз введя новый пароль - никогда не прибегая к «смене пароля».

Это также означает, что User1 может изменить пароли User2, User3 ... точно таким же образом. Любой пользователь может изменить пароль любого другого пользователя, просто трижды набрав его, а затем при появлении запроса введя новый пароль, и затем он сможет получить доступ к учетной записи.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

У меня был прежний домашний адрес Джо Икс, и мне нужно было узнать его новый текущий адрес в том же городе, но у меня не было возможности связаться с ним. Я подумал, что он получал обычную ежедневную стопку каталогов почтовых заказов, поэтому я произвольно позвонил по номеру 800 для конфет See (в отличие от Victoria's Secret, или Swiss Colony, или любого другого крупного почтовика):

Я: «Привет, я - Джо Х. Я думаю, что вы дважды включили меня в свой список рассылки, как по моему старому, так и по новому адресу. Ваш компьютер показывает мне по [старому адресу] или по [поддельному адресу] ?»

Оператор: «Нет, мы покажем вам [новый адрес]».

Если указать 1 = 1 в текстовом поле, перечислены все пользователи системы.

Будучи консультантом по безопасности приложений для жизни, есть много общих проблем, которые позволяют вам получить права администратора на веб-сайте. Но действительно крутая часть - это когда можно купить носки на миллион долларов.

Это был мой друг, работавший над этим концертом, но суть в том, что цены на предметы в неком сейчас популярном интернет-магазине книг (и всего остального) хранились в самом HTML как скрытое поле. Еще в первые дни эта ошибка затрагивала множество интернет-магазинов, они только начинали разбираться в Интернете. Очень мало осведомленности о безопасности, я имею в виду на самом деле, кто собирается загрузить HTML, отредактировать скрытое поле и повторно отправить заказ?

Естественно, мы изменили цену на 0 и заказали 1 миллион пар носков. Вы также можете изменить цену на отрицательную, но это сделало некоторую часть переполнения буфера в бэкэнд-биллинге, что привело к завершению транзакции.

Если бы я мог выбрать другой, это было бы проблемой канонизации пути в веб-приложениях. Это замечательно иметь возможность делать foo.com?file=../../../../etc/passwd

Передача пароля администратора базы данных в систему управления версиями случайно. Это было довольно плохо, потому что это было управление исходным кодом на Sourceforge.

Само собой разумеется, пароль был изменен очень быстро.

Не меняйте пароли администратора, когда ключевые сотрудники ИТ покидают компанию.

Хотя это не самая худшая дыра в безопасности, которую я когда-либо видел. Но это, по крайней мере, худшее, что я обнаружил сам:

Довольно успешный интернет-магазин для аудиокниг использовал cookie для хранения идентификационной информации текущего пользователя после успешной аутентификации. Но вы можете легко изменить идентификатор пользователя в файле cookie и получить доступ к другим учетным записям и совершать покупки на них.

В самом начале эры .com я работал в крупной розничной сети за рубежом. Мы с большим интересом наблюдали, как наши конкуренты запустили интернет-магазин за несколько месяцев до нас. Конечно, мы пошли, чтобы попробовать это ... и быстро поняли, что наши тележки для покупок перепутались. Немного поиграв со строкой запроса, мы поняли, что можем перехватить сессии друг друга. При правильном выборе времени вы можете изменить адрес доставки, но оставить способ оплаты в покое ... все это после того, как вы заполнили корзину любимыми товарами.

Когда я впервые присоединился к компании, в которой я сейчас работаю, мой начальник просматривал существующий веб-сайт электронной коммерции потенциального нового клиента. Это было в довольно ранние времена как IIS, так и электронной коммерции, и безопасность была, скажем так, менее строгой.

Короче говоря, он изменил URL (просто из любопытства) и понял, что просмотр каталога не отключен, поэтому вы можете просто вырезать имя страницы в конце URL и посмотреть все файлы на веб сервер.

Мы закончили тем, что просматривали папку, содержащую базу данных Access, которую мы загрузили. Это была вся база данных клиентов / заказов электронной коммерции, заполненная несколькими тысячами незашифрованных номеров кредитных карт.

Люди размещают свои пароли на общедоступных сайтах ...

Когда мне было 13 лет, моя школа открыла социальную сеть для учеников. К сожалению, для них я обнаружил ошибку безопасности, из-за которой вы могли изменить URI на другой идентификатор пользователя, например "? UserID = 123", и войти в систему для этого пользователя. Очевидно, что я сказал моим друзьям, и в конце концов школы социальная сеть была заполнена порно.

Не рекомендовал бы это все же.

Я думаю, что пустое поле имени пользователя / пароля для доступа суперпользователя является наихудшим. Но я видел себя один

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

Жаль, что один оператор имеет такое большое значение.

Мой был бы для банка, клиентом которого я был. Я не смог войти, поэтому позвонил в службу поддержки. Они попросили у меня имя пользователя и ничего больше - не задавали никаких вопросов безопасности и не пытались подтвердить мою личность. Затем вместо того, чтобы отправить сброс пароля на адрес электронной почты, который у них был в файле, они спросили меня, на какой адрес электронной почты его отправить. Я дал им адрес, отличный от того, который у меня был в файле, и смог сбросить пароль.

По сути, все, что нужно хакеру - это мое имя пользователя, и он сможет получить доступ к моей учетной записи. Это было для крупного банка, о котором, по крайней мере, 90% людей в Соединенных Штатах могли бы услышать. Это случилось около двух лет назад. Я не знаю, был ли это плохо обученный представитель по обслуживанию клиентов или это была стандартная процедура.

Я поделюсь тем, что создал. Вроде.

Много и много лет назад компания, в которой я работал, хотела индексировать на своем веб-сайте ASP. Итак, я пошел и настроил Index Server, исключил несколько каталогов администратора, и все было хорошо.

Однако, неизвестно мне, кто-то дал продавцу доступ ftp к веб-серверу, чтобы он мог работать из дома, это были дни дозвона, и это был самый простой способ для него поменяться файлами .... и он начал загружать вещи, включая документы с подробным описанием разметки в наших службах .... который индексированный сервер проиндексировал и начал обслуживать, когда люди искали «Затраты».

Помните, дети, белые списки, а не черные списки.

Один из самых простых, но действительно достойных по стоимости:

Платежные системы, использующие механизмы, такие как PayPal могут иметь недостатки, поскольку ответ от PayPal после успешной оплаты не проверяется, как должно быть.

Например:

Я могу перейти на какой-нибудь сайт покупки компакт-диска и добавить некоторое содержимое в корзину, затем на этапах оформления заказа на странице обычно есть форма, заполненная полями для PayPal, и кнопка отправки для «Оплатить».

Используя DOM Editor, я могу зайти в форму «вживую» и изменить значение с £899.00на, £0.01а затем нажать «Отправить» ...

Когда я нахожусь на стороне PayPal, я вижу, что сумма составляет 1 пенни, поэтому я плачу это, и PayPal перенаправляет некоторые параметры на начальный сайт покупки, который проверяет только такие параметры, как payment_status=1и т. Д. И т. Д., И не подтвердить уплаченную сумму.

Это может быть дорогостоящим, если они не имеют достаточной регистрации на месте или продукты автоматически отправляются.

Наихудшими являются сайты, которые предоставляют приложения, программное обеспечение, музыку и т. Д.

Как насчет онлайн-менеджера документов, который позволял устанавливать каждое разрешение безопасности, которое вы могли вспомнить ...

Пока вы не попали на страницу загрузки ... download.aspx? DocumentId = 12345

Да, documentId был идентификатором базы данных (автоинкремент), и вы могли зациклить каждый номер, и любой мог получить все документы компании.

Когда предупредили об этой проблеме, руководитель проекта ответил: «Хорошо, спасибо. Но никто не заметил этого раньше, поэтому давайте оставим это как есть.

У норвежской доставки пиццы была дыра в безопасности, где вы могли заказать отрицательное количество пиццы на их новом блестящем интернет-портале и получить ее бесплатно.