книги хакеры / Баг Баунти PlayBook

Как видите, я ввел команду «echo hi» и получил ответ. Это очень сильный показатель того, что приложение уязвимо для инъекции команд. Однако, подавляющее большинство этих багов слепые, и Вы не увидите результат. При внедрении слепой команды Вы не можете использовать команду «echo» для проверки уязвимости, так как вывод не отображается. Вы можете попытаться пропинговать, выполнить поиск DNS или сделать HTTP-запрос на Вашем компьютере. Затем Вы слушаете на своей машине запрос от цели. Если Вы получите request, то Вы уже знаете, что цель уязвима для слепого

Вывод

Внедрение команд - это более старая уязвимость, которую я редко нахожу. Если Вы найдете эту уязвимость, это, скорее всего, будет слепая инъекция команд. Воздействие этой уязвимости имеет решающее значение, поскольку Вы можете выполнять удаленные команды на сервере, и это легко позволяет Вам делать все, что Вы хотите.

Cross Site Web Socket Hijacking (CSWSH)

Введение

Я довольно редко сталкиваюсь с приложением, использующим веб-сокеты, но когда нахожу, то почти всегда есть перехват веб-сокетов между сайтами (CSWSH). Настройка полнодуплексного канала связи позволяет использовать как чтение, так и отправку данных. Эту уязвимость можно использовать для выполнения XSS, SQLинъекций, RCE и т.д.

Веб-сокеты

WebSocket - это протокол компьютерной связи, обеспечивающий полнодуплексный канал связи по одному TCP-соединению. Полный дуплекс означает, что мы можем как читать, так и писать в соединение. Приложения, использующие веб-сокеты, обычно нуждаются в живом механизме двусторонней связи. Например, чат приложение

и обратно.

Как показано выше, соединение начинается с рукопожатия веб-сокета. и HTTP-запроса на обновление. Такой подход используется для установки связи веб-сокета. Пример

рукопожатия веб-сокета показан ниже:

После того, как рукопожатие установлено, Вы можете начать отправлять и получать сообщения из приложения

CSWSH

Перехват веб-сокетов между сайтами (CSWSH) похож на CSRF, поскольку мы используем целевые файлы cookie для выполнения запросов. Кроме того, как и CSRF, цель должна была бы посетить нашу вредоносную страницу, войдя на целевой сайт, чтобы это сработало. Основное отличие заключается в том, что вместо отправки POST-запроса мы инициируем связь с веб-сокетом. После того, как соединение WebSocket установлено, мы можем делать все, что угодно. Предположим, у нас есть веб-приложение с функцией живого чата, которая использует веб-сокет для связи.

Первое, что Вы хотите сделать, это изучить трафик в burp. Только большинство людей знает, как использовать burp для тестирования HTTP-трафика, но он также может обрабатывать трафик веб-сокетов, как показано ниже:

Следующий шаг - создать POC, чтобы посмотреть, сможем ли мы захватить WebSocket пользователя. Мы можем использовать следующий веб-сайт для проверки уязвимости:

● http://websocket.org/echo.html

Чтобы проверить CSWSH, Вам нужно войти в целевое приложение, как если бы Вы были законным пользователем. Затем Вы открываете вторую вкладку в том же браузере и пытаетесь создать подключение через веб-сокет. В этом примере я буду подключаться к живому чату. Если конечная точка уязвима, мы сможем создать веб-сокет соединение с использованием файлов cookie пользователя.

Как Вы можете видеть на изображении выше, я смог инициировать веб-сокет соединение с использованием файлов cookie пользователей. Именно это делает ее таким похожим на CSRF. А реальная атака потребовала бы от пользователя посещения вредоносного сайта, при входе в систему уязвимого приложения. Затем вредоносный сайт может использовать файлы cookie пользователей для установки соединения через веб-сокет и отправлять сообщения от имени пользователя. Сайт также содержит код POC, если Вам нужно внести какие-либо изменения. Всегда рекомендуется отправлять POC-код при отправке для вознаграждения.

<!DOCTYPE html> <meta charset="utf-8" />

<title>WebSocket Test</title>

<script language="JavaScript" type="text/JavaScript"> var wsUri = "wss://echo.websocket.org/";

var output; function init()

{

Я лично использовал эту уязвимость для взлома нескольких приложений. Один из экземпляров позволил мне полностью взять на себя управление машинами пользователей в качестве веб-сайта. Соединение сокета использовалось для отправки команд оболочки на удаленный сервер. Это позволило мне добиться удаленного выполнения кода (RCE).

Вывод

Вы не будете часто сталкиваться с приложениями, использующими веб-сокеты. Большинство разработчиков и охотников за ошибками даже не знают, что это за уязвимость. Как и CSRF, это атака на пользователей, и может использоваться для установления соединения через веб-сокет при маскировке как жертва.

Резюмирую

В этом разделе рассмотрено лишь небольшое количество уязвимостей типа OWASP. Вероятно, самая популярная обнаруженная уязвимость - XSS. Кажется, что любое приложение содержит XSS, и выплата за уязвимость может