Successfully reported this slideshow.
Your SlideShare is downloading. ×

Drobné chyby, které vám mohou zlomit vaz

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Loading in …3
×

Check these out next

1 of 28 Ad

More Related Content

Advertisement

Recently uploaded (19)

Drobné chyby, které vám mohou zlomit vaz

  1. 1. https://lynt.cz @smitka Drobné chyby, které vám mohou zlomit vaz Vláďa Smitka vladimir.smitka@lynt.cz @smitka Lynt services s.r.o.
  2. 2. https://lynt.cz @smitka Další přednáška o SQLi/XSS/HTTPS/heslech 12. 6. 2018 2 "Bezpečnost vyžaduje odlišné myšlení"
  3. 3. https://lynt.cz @smitka12. 6. 2018 3
  4. 4. https://lynt.cz @smitka Klasifikace útočníka 12. 6. 2018 4
  5. 5. https://lynt.cz @smitka FB 12. 6. 2018 5
  6. 6. https://lynt.cz @smitka Krádež údajů 12. 6. 2018 6 https://github.com/beefproject/beef/wiki/Module%3A-Pretty-Theft
  7. 7. https://lynt.cz @smitka "Nedělej živé ukázky, nedělej živé ukázky, nedělej živé ukázky" 12. 6. 2018 7
  8. 8. https://lynt.cz @smitka Živá ukázka 12. 6. 2018 8
  9. 9. https://lynt.cz @smitka Document relationships • window.opener.location • <a href="" target="_blank">link</a> • <a href="" target="_blank" rel="noopener noreferrer">link</a> • https://caniuse.com/#search=noopener • https://caniuse.com/#search=noreferrer • Referrer-policy HTTP header • https://w3c.github.io/webappsec-referrer-policy/ 12. 6. 2018 9
  10. 10. https://lynt.cz @smitka Puny code domain • https://www.аррӏе.com/ • https://www.xn--80ak6aa92e.com/ • http://homoglyphs.net/ 12. 6. 2018 10
  11. 11. https://lynt.cz @smitka Když developer a vývojář nejsou na stejné lodi 12. 6. 2018 11
  12. 12. https://lynt.cz @smitka FPD • /var/www/clients/client3/web8 - ISPconfig • /var/www/vhosts/web.xy/httpdocs/ - Plesk • /home/webxy/public_html/ - cPanel • /data/web/virtuals/180581/virtual/www/ 12. 6. 2018 12 FTP uživatel
  13. 13. https://lynt.cz @smitka Vyvolání chyby 12. 6. 2018 13 • Prázdná session • Dlouhá session • Speciální znak • Přímé volání souboru • pole[] Stacktrace Apache APPProxy search.php?q=abc search.php?q[]=abc Požadavek z lokální sítě
  14. 14. https://lynt.cz @smitka Výpis souborů 12. 6. 2018 14 5% slovenských WP webů https://lynt.cz/blog/wordpress-v-sk-pruzkum vim: .<file>.swp
  15. 15. https://lynt.cz @smitka Editor 12. 6. 2018 15 CKEDITOR.replace("frm-loginForm-username") Hacker friendly robots.txt: Disallow: /cesta/k/adminu ;-) Samozřejmě to platí i pro TinyMCE a další.
  16. 16. https://lynt.cz @smitka .git 12. 6. 2018 16 Několik tisícovek českých webů má přístupnou složku .git! I bez výpisu adresáře lze .git stáhnout - https://github.com/internetwache/GitTools
  17. 17. https://lynt.cz @smitka "Nejisté chování vede k jistým chybám." 12. 6. 2018 17
  18. 18. https://lynt.cz @smitka Neplánovaný uživatelský vstup • Můj user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.62 Safari/537.36 <img src=https://tools.lynt.cz/ua/> 12. 6. 2018 18
  19. 19. https://lynt.cz @smitka XXE - XML External Entity from lxml import etree x = etree.parse('test.xml') print(etree.tostring(x)) 12. 6. 2018 19 * hint: defusedxml https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet <!DOCTYPE root [<!ENTITY e SYSTEM "/etc/passwd">]> <root>&e;</root> <!DOCTYPE root [<!ENTITY e "Ahoj">]> <root>&e;</root> <root>Ahoj</root>
  20. 20. https://lynt.cz @smitka XXE - DoS 12. 6. 2018 20 <!DOCTYPE lolz [ <!ENTITY lol "lol"> <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;"> ]> <lolz>&lol9;</lolz> Billion laughs attack: https://en.wikipedia.org/wiki/Billion_laughs_attack Quadratic blowup - slabší varianta bez zanořování
  21. 21. https://lynt.cz @smitka XXE příklady Google: https://blog.detectify.com/2014/04/11/how- we-got-read-access-on-googles-production- servers/ Facebook: https://www.ubercomp.com/posts/2014-01- 16_facebook_remote_code_execution 12. 6. 2018 21
  22. 22. https://lynt.cz @smitka HPP • HTTP Parameter Pollution • /?id=1&id=2 12. 6. 2018 22 technologie Výsledek (* může se lišit dle konkrétní knihovny) PHP 2 Ruby 2 Perl 1 JSP 1 Python (Django, Flask) 1 Node [1,2] ASP.NET 1,2
  23. 23. https://lynt.cz @smitka HPP POST /index.php?id=1&id=2 HTTP/1.1 Cookie: id=3;id=4 id=5&id=6 12. 6. 2018 23 Účely HPP: Přepsat jinde definované parametry Změnit chování aplikace Vyvolat chybu Obejít kontroly/WAF
  24. 24. https://lynt.cz @smitka HPP 26/3d selfreference • page.php?action=edit&page=<PAGE_ID> • page_id = 1%26action%3ddelete • page.php?action=edit&page=1&action=delete 12. 6. 2018 24
  25. 25. https://lynt.cz @smitka HPP příklady 12. 6. 2018 25 Twitter: https://twitter.com/intent/like?tweet_id=123456789&screen_name=Attacker https://ericrafaloff.com/parameter-tampering-attack-on-twitter-web-intents/ WordPress 4.7.0 + 4.7.1: https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017 Yahoo Classic Mail: http://it.mc257.mail.yahoo.com/mc/showFolder? fid=Inbox&order=down&tt=245&pSize=25&startMid=0 %2526cmd=fmgt.emptytrash%26DEL=1%26DelFID=Inbox%26cmd=fmgt.delete Blogger.com: https://upshell.wordpress.com/?p=195
  26. 26. https://lynt.cz @smitka CSRF 12. 6. 2018 26 <body> Admine, <br> díky za tvojí skvělou práci!</div> <br> <img src="cid:emab59100f-75bf-4822-b264- f36747e24083"> <img width="0" height="0" src="https://admininistrace.xy/change_pass word.php?password=hahahaha"> </body>
  27. 27. https://lynt.cz @smitka Pár otázek • Mají mé session cookies HTTP Only + Secure? • Používám target="_blank" s noopener, noreferrer? • Nezobrazuji chybové hlášky a stacktrace? • Zakazuji výpis složek (autoindex), a přístup ke všemu, co začíná tečkou (především .git)? • Ověřuji uživatele u filemanageru v HTML editoru? • Jak se zachová aplikace když se jí pošle více stejných parametrů? • Jak nakládá XML parser s entitami? • Mám všude CSRF tokeny? • Kolik používám bezpečnostních hlaviček? https://securityheaders.com/ 12. 6. 2018 27
  28. 28. https://lynt.cz @smitka12. 6. 2018 28 A to je vše, přátelé. Reklamní vsuvka: Děláte s PPC? Sledujte https://twitter.com/PPCrobot Děláte v Pythonu? PPC Robot hledá vývojáře ;-)

Editor's Notes

  • 1kb – 3GB ram
  • Regexp => 1., plnění pole => poslední

×