Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Drobné chyby, které vám mohou zlomit vaz

694 views

Published on

Méně známé nebo zdánlivě nepodstatné bezpečnostní chyby webů.

Published in: Technology
  • DOWNLOAD THAT BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download Full doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download PDF EBOOK here { http://bit.ly/2m77EgH } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m77EgH } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book that can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer that is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story That Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money That the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths that Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Drobné chyby, které vám mohou zlomit vaz

  1. 1. https://lynt.cz @smitka Drobné chyby, které vám mohou zlomit vaz Vláďa Smitka vladimir.smitka@lynt.cz @smitka Lynt services s.r.o.
  2. 2. https://lynt.cz @smitka Další přednáška o SQLi/XSS/HTTPS/heslech 12. 6. 2018 2 "Bezpečnost vyžaduje odlišné myšlení"
  3. 3. https://lynt.cz @smitka12. 6. 2018 3
  4. 4. https://lynt.cz @smitka Klasifikace útočníka 12. 6. 2018 4
  5. 5. https://lynt.cz @smitka FB 12. 6. 2018 5
  6. 6. https://lynt.cz @smitka Krádež údajů 12. 6. 2018 6 https://github.com/beefproject/beef/wiki/Module%3A-Pretty-Theft
  7. 7. https://lynt.cz @smitka "Nedělej živé ukázky, nedělej živé ukázky, nedělej živé ukázky" 12. 6. 2018 7
  8. 8. https://lynt.cz @smitka Živá ukázka 12. 6. 2018 8
  9. 9. https://lynt.cz @smitka Document relationships • window.opener.location • <a href="" target="_blank">link</a> • <a href="" target="_blank" rel="noopener noreferrer">link</a> • https://caniuse.com/#search=noopener • https://caniuse.com/#search=noreferrer • Referrer-policy HTTP header • https://w3c.github.io/webappsec-referrer-policy/ 12. 6. 2018 9
  10. 10. https://lynt.cz @smitka Puny code domain • https://www.аррӏе.com/ • https://www.xn--80ak6aa92e.com/ • http://homoglyphs.net/ 12. 6. 2018 10
  11. 11. https://lynt.cz @smitka Když developer a vývojář nejsou na stejné lodi 12. 6. 2018 11
  12. 12. https://lynt.cz @smitka FPD • /var/www/clients/client3/web8 - ISPconfig • /var/www/vhosts/web.xy/httpdocs/ - Plesk • /home/webxy/public_html/ - cPanel • /data/web/virtuals/180581/virtual/www/ 12. 6. 2018 12 FTP uživatel
  13. 13. https://lynt.cz @smitka Vyvolání chyby 12. 6. 2018 13 • Prázdná session • Dlouhá session • Speciální znak • Přímé volání souboru • pole[] Stacktrace Apache APPProxy search.php?q=abc search.php?q[]=abc Požadavek z lokální sítě
  14. 14. https://lynt.cz @smitka Výpis souborů 12. 6. 2018 14 5% slovenských WP webů https://lynt.cz/blog/wordpress-v-sk-pruzkum vim: .<file>.swp
  15. 15. https://lynt.cz @smitka Editor 12. 6. 2018 15 CKEDITOR.replace("frm-loginForm-username") Hacker friendly robots.txt: Disallow: /cesta/k/adminu ;-) Samozřejmě to platí i pro TinyMCE a další.
  16. 16. https://lynt.cz @smitka .git 12. 6. 2018 16 Několik tisícovek českých webů má přístupnou složku .git! I bez výpisu adresáře lze .git stáhnout - https://github.com/internetwache/GitTools
  17. 17. https://lynt.cz @smitka "Nejisté chování vede k jistým chybám." 12. 6. 2018 17
  18. 18. https://lynt.cz @smitka Neplánovaný uživatelský vstup • Můj user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.62 Safari/537.36 <img src=https://tools.lynt.cz/ua/> 12. 6. 2018 18
  19. 19. https://lynt.cz @smitka XXE - XML External Entity from lxml import etree x = etree.parse('test.xml') print(etree.tostring(x)) 12. 6. 2018 19 * hint: defusedxml https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet <!DOCTYPE root [<!ENTITY e SYSTEM "/etc/passwd">]> <root>&e;</root> <!DOCTYPE root [<!ENTITY e "Ahoj">]> <root>&e;</root> <root>Ahoj</root>
  20. 20. https://lynt.cz @smitka XXE - DoS 12. 6. 2018 20 <!DOCTYPE lolz [ <!ENTITY lol "lol"> <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;"> <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"> <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;"> <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"> <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;"> <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"> <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;"> ]> <lolz>&lol9;</lolz> Billion laughs attack: https://en.wikipedia.org/wiki/Billion_laughs_attack Quadratic blowup - slabší varianta bez zanořování
  21. 21. https://lynt.cz @smitka XXE příklady Google: https://blog.detectify.com/2014/04/11/how- we-got-read-access-on-googles-production- servers/ Facebook: https://www.ubercomp.com/posts/2014-01- 16_facebook_remote_code_execution 12. 6. 2018 21
  22. 22. https://lynt.cz @smitka HPP • HTTP Parameter Pollution • /?id=1&id=2 12. 6. 2018 22 technologie Výsledek (* může se lišit dle konkrétní knihovny) PHP 2 Ruby 2 Perl 1 JSP 1 Python (Django, Flask) 1 Node [1,2] ASP.NET 1,2
  23. 23. https://lynt.cz @smitka HPP POST /index.php?id=1&id=2 HTTP/1.1 Cookie: id=3;id=4 id=5&id=6 12. 6. 2018 23 Účely HPP: Přepsat jinde definované parametry Změnit chování aplikace Vyvolat chybu Obejít kontroly/WAF
  24. 24. https://lynt.cz @smitka HPP 26/3d selfreference • page.php?action=edit&page=<PAGE_ID> • page_id = 1%26action%3ddelete • page.php?action=edit&page=1&action=delete 12. 6. 2018 24
  25. 25. https://lynt.cz @smitka HPP příklady 12. 6. 2018 25 Twitter: https://twitter.com/intent/like?tweet_id=123456789&screen_name=Attacker https://ericrafaloff.com/parameter-tampering-attack-on-twitter-web-intents/ WordPress 4.7.0 + 4.7.1: https://lynt.cz/blog/masivni-unorova-infekce-wordpress-webu-2017 Yahoo Classic Mail: http://it.mc257.mail.yahoo.com/mc/showFolder? fid=Inbox&order=down&tt=245&pSize=25&startMid=0 %2526cmd=fmgt.emptytrash%26DEL=1%26DelFID=Inbox%26cmd=fmgt.delete Blogger.com: https://upshell.wordpress.com/?p=195
  26. 26. https://lynt.cz @smitka CSRF 12. 6. 2018 26 <body> Admine, <br> díky za tvojí skvělou práci!</div> <br> <img src="cid:emab59100f-75bf-4822-b264- f36747e24083"> <img width="0" height="0" src="https://admininistrace.xy/change_pass word.php?password=hahahaha"> </body>
  27. 27. https://lynt.cz @smitka Pár otázek • Mají mé session cookies HTTP Only + Secure? • Používám target="_blank" s noopener, noreferrer? • Nezobrazuji chybové hlášky a stacktrace? • Zakazuji výpis složek (autoindex), a přístup ke všemu, co začíná tečkou (především .git)? • Ověřuji uživatele u filemanageru v HTML editoru? • Jak se zachová aplikace když se jí pošle více stejných parametrů? • Jak nakládá XML parser s entitami? • Mám všude CSRF tokeny? • Kolik používám bezpečnostních hlaviček? https://securityheaders.com/ 12. 6. 2018 27
  28. 28. https://lynt.cz @smitka12. 6. 2018 28 A to je vše, přátelé. Reklamní vsuvka: Děláte s PPC? Sledujte https://twitter.com/PPCrobot Děláte v Pythonu? PPC Robot hledá vývojáře ;-)

×