Najgorsza dziura w bezpieczeństwie, którą widziałeś? [Zamknięte]

Jaka jest najgorsza dziura w bezpieczeństwie, jaką kiedykolwiek widziałeś? Prawdopodobnie dobrym pomysłem jest ograniczenie liczby szczegółów w celu ochrony winy.

Oto, co warto, oto pytanie o to, co zrobić, jeśli znajdziesz lukę w zabezpieczeniach, i kolejne z przydatnymi odpowiedziami, jeśli firma (wydaje się) nie odpowiada.

Od wczesnych dni sklepów internetowych:

Uzyskiwanie 90% rabatu poprzez wprowadzenie .1 w polu ilości koszyka. Oprogramowanie poprawnie obliczyło całkowity koszt jako .1 * koszt, a człowiek pakujący zamówienie po prostu przeleciał nad nieparzystym „.” przed ilością do pakowania :)

Najmniej wybaczalna luka bezpieczeństwa, niestety bardzo powszechna i łatwa do znalezienia, to hakowanie Google . Przykładem:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

To niesamowite, ile stron w Internecie, w szczególności na stronach rządowych, przekazuje zapytanie SQL przez ciąg zapytania. Jest to najgorsza forma wstrzykiwania SQL i nie trzeba w żaden sposób znajdować wrażliwych stron.

Po drobnych poprawkach udało mi się znaleźć niezabezpieczone instalacje phpMyAdmina, niezabezpieczone instalacje MySQL, ciągi zapytań zawierające nazwy użytkowników i hasła itp.

Inżynieria społeczna:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

Z bash.org

Prawdziwa historia z moich pierwszych dni w Microsoft.

Nie zaznałeś strachu do dnia, w którym obudziłeś się i zobaczyłeś nagłówek na ZDNet.com tego ranka: „ Najgorsza dziura w zabezpieczeniach przeglądarki Internet Explorer, jaką kiedykolwiek odkryto w„ Blah ” ”, gdzie „Blah” to kod, który sam napisałeś sześć miesięcy wcześniej .

Natychmiast po rozpoczęciu pracy sprawdziłem dzienniki zmian i odkryłem, że ktoś z innego zespołu - ktoś, któremu ufamy, że wprowadzi zmiany w produkcie - sprawdził mój kod, zmienił kilka ustawień klucza rejestru bezpieczeństwa bez wyraźnego powodu, sprawdziłem go ponownie i nigdy nie dostałem recenzji kodu ani nikomu o tym nie powiedziałem. Do dziś nie mam pojęcia, co, u licha, robił; wkrótce potem opuścił firmę. (Z własnej woli.)

(AKTUALIZACJA: Kilka odpowiedzi na problemy poruszone w komentarzach:

Po pierwsze, zauważ, że wybieram charytatywne stanowisko, że zmiany klucza bezpieczeństwa były niezamierzone i oparte na nieostrożności lub nieznajomości, a nie na złośliwości. Nie mam dowodów w ten czy inny sposób i wierzę, że mądrze jest przypisywać błędy ludzkiej omylności.

Po drugie, nasze systemy odpraw są teraz znacznie, znacznie silniejsze niż 12 lat temu. Na przykład nie jest teraz możliwe wpisanie kodu bez wysłania przez system kontroli wiadomości e-mail z listą zmian do zainteresowanych stron. W szczególności zmiany wprowadzone późno w cyklu statku obejmują wiele „procesów”, które zapewniają, że wprowadzane są odpowiednie zmiany w celu zapewnienia stabilności i bezpieczeństwa produktu.)

W każdym razie błąd polegał na tym, że obiekt, który NIE był bezpieczny do użycia z Internet Explorera, został przypadkowo zwolniony jako oznaczony jako „bezpieczny dla skryptów”. Obiekt mógł zapisywać pliki binarne - w rzeczywistości biblioteki typu OLE Automation - w dowolne miejsca na dysku. Oznaczało to, że osoba atakująca może stworzyć bibliotekę typów zawierającą pewne ciągi wrogiego kodu, zapisać ją na ścieżce, która była znaną lokalizacją wykonywalną, nadać jej rozszerzenie czegoś, co spowodowałoby uruchomienie skryptu, i mieć nadzieję, że w jakiś sposób użytkownik przypadkowo uruchomiłby kod. Nie znam żadnych udanych ataków w „świecie rzeczywistym”, które wykorzystałyby tę lukę, ale możliwe było stworzenie z niej działającego exploita.

Szybko dostarczyliśmy łatkę całkiem cholernie dla tego, powiem ci.

Zrobiłem, a następnie naprawiłem wiele innych luk w zabezpieczeniach w JScript, ale żadna z nich nigdy nie zbliżyła się tak bardzo do reklamy.

Mam nadzieję, że zauważysz tutaj, co jest nie tak. (Tak naprawdę strasznie źle):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

Ostatni odbiorca był najszczęśliwszy;)

Stare głupie terminale IBM System 36 miały kombinację klawiszy, która rozpoczęła rejestrowanie makra. Kiedy terminal nie był zalogowany, możesz rozpocząć rejestrowanie makra i pozostawić je w tej pozycji. Następnym razem, gdy ktoś się zaloguje, naciśnięcia klawiszy zostaną zapisane w makrze, a nagrywanie zakończy się automatycznie po zarejestrowaniu maksymalnej dozwolonej liczby klawiszy. Po prostu wróć później i odtwórz makro do autolog-in.

Najgorsza dziura w zabezpieczeniach, jaką kiedykolwiek widziałem, została naprawdę zakodowana przez ciebie i spowodowała, że ​​Google Bot usunął całą bazę danych.

Kiedy pierwszy raz uczyłem się klasycznej ASP, napisałem własną podstawową aplikację blogową. Katalog ze wszystkimi skryptami administratora był chroniony przez NTLM na IIS. Pewnego dnia przeniosłem się na nowy serwer i zapomniałem ponownie zabezpieczyć katalog w IIS (ups).

Strona główna blogu zawierała link do głównego ekranu administratora, a główny ekran administratora miał DELETE LINK dla każdego rekordu (bez potwierdzenia).

Pewnego dnia znalazłem każdy rekord w bazie danych usunięty (setki osobistych wpisów). Myślałem, że jakiś czytelnik włamał się na stronę i złośliwie usunął każdy rekord.

Przyszedłem, aby dowiedzieć się z dzienników: Google Bot zaindeksował witrynę, podążał za linkiem administratora, a następnie podążałem za wszystkimi DELETE LINKS, usuwając w ten sposób każdy rekord w bazie danych. Czułem, że zasłużyłem na nagrodę Dumbass of the Year, która przypadkowo została naruszona przez Google Bot.

Na szczęście miałem kopie zapasowe.

Najgorszą dziurą, jaką kiedykolwiek widziałem, był błąd w aplikacji internetowej, w którym podanie pustej nazwy użytkownika i hasła zalogowałoby Cię jako administratora :)

Raz zauważyłem to na adres URL strony internetowej.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

Zmiana ostatniego parametru na admin = 1 dała mi uprawnienia administratora. Jeśli zamierzasz ślepo ufać wkładowi użytkowników, przynajmniej nie telegrafuj, że to robisz!

Widziałem to w The Daily WTF .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

Nic nie przebije tego IMHO.

Na uniwersytecie, który pozostanie bezimienny, wszystkie zapytania dotyczące akcji były przekazywane przez adres URL zamiast formularza.

Sprawa działała, dopóki nie pojawił się Google Bot, przejrzał wszystkie adresy URL i wyczyścił bazę danych.

Zaskoczony, że nikt nie podniósł inżynierii społecznej, ale wyrzuciłem go z tego artykułu .

Podsumowanie: złośliwi użytkownicy mogą kupić kilkadziesiąt dysków flash, załadować ich automatycznie uruchamianym wirusem lub trojanem, a następnie posypać wspomniane dyski flash na parkingu firmowym późną nocą. Następnego dnia wszyscy przychodzą do pracy, potykają się o błyszczący, w kształcie cukierków, nie do odparcia sprzęt i mówią sobie: „och, wolna pamięć flash, zastanawiam się, co na niej jest!” - 20 minut później cała sieć firmy zostaje zamknięta.

„Pedo mellon a minno” , „Speak friend and enter”, u bram Morii.

Microsoft Bob
(Credit: Dan's 20th Century Abandonware )

Jeśli po raz trzeci wprowadzisz nieprawidłowe hasło, zostaniesz zapytany, czy je zapomniałeś.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

Ale zamiast mieć zabezpieczenia, takie jak ciągłe monitowanie o poprawne hasło, dopóki nie zostanie wprowadzone lub blokowanie cię po kilku niepoprawnych próbach, możesz wprowadzić dowolne nowe hasło, które zastąpi oryginalne! Każdy może to zrobić za pomocą dowolnego „chronionego” hasłem konta Microsoft Bob.

Nie jest wymagane wcześniejsze uwierzytelnienie. jego środki Użytkownik1 mógł zmienić własne hasło, po prostu trzykrotnie wpisując hasło, a następnie wprowadzając nowe hasło po raz czwarty - bez konieczności używania „zmień hasło”.

Oznacza to również, że Użytkownik1 może zmienić hasła Użytkownika2, Użytkownika3 ... dokładnie w ten sam sposób. Każdy użytkownik może zmienić hasło innego użytkownika, po prostu trzykrotnie je wpisując, a następnie wprowadzając nowe hasło po wyświetleniu monitu - i może uzyskać dostęp do konta.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

Miałem poprzedni adres domowy Joe X i potrzebowałem znać jego nowy aktualny adres w tym samym mieście, ale nie miałem możliwości się z nim skontaktować. Doszedłem do wniosku, że codziennie otrzymuje stos katalogów wysyłkowych, więc arbitralnie zadzwoniłem pod numer 800 dla cukierków See (w przeciwieństwie do Victoria's Secret, Swiss Colony lub innego dużego mailera):

Ja: „Cześć, nazywam się Joe X. Myślę, że dwa razy znalazłeś się na mojej liście mailowej, zarówno pod moim starym, jak i nowym adresem. Czy twój komputer pokazuje mi adres [stary adres] lub [fałszywy adres] ?

Operator: „Nie, pokazujemy ci [nowy adres].”

Podanie 1 = 1 w polu tekstowym zawiera listę wszystkich użytkowników w systemie.

Będąc konsultantem ds. Bezpieczeństwa aplikacji na życie, istnieje wiele typowych problemów, które pozwalają uzyskać uprawnienia administratora na stronie internetowej przez coś. Ale naprawdę fajne jest to, że możesz kupić skarpetki warte milion dolarów.

Był to mój przyjaciel, który pracował nad tym koncertem, ale największą jego zaletą było to, że ceny artykułów w pewnej obecnie bardzo popularnej książce online (i wszystkim innym) były przechowywane w samym HTML jako ukryte pole. W początkowych dniach ten błąd gryzł wiele sklepów internetowych, dopiero zaczynali odkrywać sieć. Bardzo mała świadomość bezpieczeństwa, mam na myśli naprawdę, kto zamierza pobrać HTML, edytować ukryte pole i ponownie przesłać zamówienie?

Oczywiście zmieniliśmy cenę na 0 i zamówiliśmy 1 milion par skarpet. Możesz także zmienić cenę na ujemną, ale wykonanie tej czynności spowodowało, że część przepełnienia bufora oprogramowania rozliczeniowego backendu zakończyła transakcję.

Gdybym mógł wybrać inny, byłyby to problemy z kanonizacją ścieżek w aplikacjach internetowych. Wspaniale jest robić foo.com?file=../../../../etc/passwd

Przypadkowe przekazanie hasła do bazy danych do kontroli źródła. To było dość złe, ponieważ była kontrola źródła na Sourceforge.

Nie trzeba dodawać, że hasło zmieniło się bardzo szybko.

Nie zmienia haseł administratora, gdy kluczowi pracownicy IT opuszczają firmę.

Chociaż nie jest to najgorsza dziura bezpieczeństwa, jaką kiedykolwiek widziałem. Ale to przynajmniej najgorsze, jakie sam odkryłem:

Dość udany sklep internetowy z audiobookami wykorzystał plik cookie do przechowywania informacji identyfikacyjnych bieżącego użytkownika po udanym uwierzytelnieniu. Możesz jednak łatwo zmienić identyfikator użytkownika w pliku cookie i uzyskać dostęp do innych kont i dokonywać na nich zakupów.

Na początku ery .com pracowałem dla dużego detalisty za granicą. Z wielkim zainteresowaniem obserwowaliśmy, jak nasi konkurenci uruchomili sklep internetowy kilka miesięcy przed nami. Oczywiście poszliśmy to wypróbować ... i szybko zdaliśmy sobie sprawę, że nasze wózki sklepowe się mylą. Po nieco pobawieniu się ciągiem zapytania, zdaliśmy sobie sprawę, że możemy się nawzajem porwać. Przy odpowiednim czasie możesz zmienić adres dostawy, ale pozostawić metodę płatności w spokoju ... wszystko po wypełnieniu koszyka ulubionymi przedmiotami.

Kiedy po raz pierwszy dołączyłem do firmy, w której obecnie pracuję, mój szef przeglądał istniejącą stronę e-commerce potencjalnego nowego klienta. Było to w dość wczesnych czasach zarówno usług IIS, jak i handlu elektronicznego, a bezpieczeństwo było, powiedzmy, mniej niż rygorystyczne.

Krótko mówiąc, zmienił adres URL (z ciekawości) i zdał sobie sprawę, że przeglądanie katalogów nie zostało wyłączone, więc możesz po prostu wyciąć nazwę strony na końcu adresu URL i zobaczyć wszystkie pliki w serwer internetowy.

Przeglądaliśmy folder zawierający bazę danych Access, którą pobraliśmy. Była to cała baza klientów / zamówień e-commerce, pełna kilku tysięcy niezaszyfrowanych numerów kart kredytowych.

Ludzie delegowania swoich haseł na publicznych stronach internetowych ...

Kiedy miałem 13 lat, moja szkoła otworzyła sieć społecznościową dla uczniów. Niestety dla nich znalazłem błąd bezpieczeństwa, w którym możesz zmienić identyfikator URI na inny identyfikator użytkownika, np. „? Identyfikator_użytkownika = 123” i zalogować się dla tego użytkownika. Oczywiście powiedziałem moim znajomym, a na koniec szkolna sieć społecznościowa była wypełniona pornografią.

Nie poleciłbym tego jednak.

Myślę, że puste pole nazwy użytkownika / hasła dla dostępu administratora jest zdecydowanie najgorsze. Ale taki, który sam widziałem

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

Szkoda, że ​​jeden operator robi tak dużą różnicę.

Mój byłby dla banku, którego byłem klientem. Nie mogłem się zalogować, więc zadzwoniłem do obsługi klienta. Poprosili mnie o nazwę użytkownika i nic więcej - nie zadali żadnych pytań bezpieczeństwa ani nie próbowali zweryfikować mojej tożsamości. Następnie zamiast wysłać reset hasła na adres e-mail, który mieli w pliku, zapytali mnie, na jaki adres e-mail go wysłać. Podałem im adres inny niż ten, który miałem w pliku, i mogłem zresetować hasło.

Zasadniczo wszystko, czego haker potrzebuje, to moja nazwa użytkownika, a on może wtedy uzyskać dostęp do mojego konta. Dotyczyło to dużego banku, o którym słyszało co najmniej 90% ludzi w Stanach Zjednoczonych. Stało się to około dwa lata temu. Nie wiem, czy był to źle wyszkolony przedstawiciel obsługi klienta, czy była to standardowa procedura.

Podzielę się jednym, który utworzyłem. Rodzaj.

Wiele lat temu firma, dla której pracowałem, chciała zaindeksować swoje strony ASP. Więc poszedłem i skonfigurowałem serwer indeksów, wykluczyłem kilka katalogów administratora i wszystko było dobrze.

Jakkolwiek nieznane mi było to, że ktoś dał sprzedawcy ftp dostęp do serwera WWW, aby mógł pracować z domu, były to dni dialupu i był to najłatwiejszy sposób na zamianę plików ... i zaczął przesyłać rzeczy, w tym dokumenty szczegółowo opisujące znaczniki w naszych usługach ... który indeksował serwer indeksowania i zaczyna wyświetlać serwery, gdy ludzie szukają hasła

Pamiętajcie o dzieciach, białe listy nie są czarnymi listami.

Jednym z najprostszych, ale naprawdę wartych kosztów jest:

Systemy płatności korzystające z mechanizmów takich jak PayPal mogą być wadliwe, ponieważ odpowiedź zwrotna z PayPal po pomyślnej płatności nie jest sprawdzana tak, jak powinna.

Na przykład:

Mogę przejść do strony z zakupami płyt CD i dodać trochę zawartości do koszyka, a następnie podczas etapów kasowania zwykle na stronie jest wypełniony formularz z polami do płatności PayPal i przycisk „Wyślij”.

Za pomocą edytora DOM mogę przejść do formy „na żywo” i zmienić wartość z £899.00na, £0.01a następnie kliknąć Prześlij ...

Kiedy jestem po stronie PayPal, widzę, że kwota wynosi 1 grosz, więc płacę to i PayPal przekierowuje niektóre parametry do strony początkowego zakupu, który tylko sprawdza parametry takie jak payment_status=1itp. Itp. I nie zatwierdź zapłaconą kwotę.

Może to być kosztowne, jeśli nie mają wystarczającego miejsca do logowania lub produkty są automatycznie wysyłane.

Najgorszym rodzajem witryn są witryny dostarczające aplikacje, oprogramowanie, muzykę itp.

A może internetowy menedżer dokumentów, który pozwolił ustawić każde zezwolenie bezpieczeństwa, które mógłbyś zapamiętać ...

To jest, dopóki nie przejdziesz do strony pobierania ... download.aspx? DocumentId = 12345

Tak, documentId był identyfikatorem bazy danych (auto-przyrost) i można było zapętlić każdy pojedynczy numer i każdy mógł uzyskać wszystkie dokumenty firmowe.

Po otrzymaniu powiadomienia o tym problemie kierownik projektu odpowiedział: Ok, dzięki. Ale nikt tego wcześniej nie zauważył, więc zachowajmy go takim, jaki jest.

Norweska dostawa pizzy miała dziurę w zabezpieczeniach, w której można było zamówić ujemne ilości pizzy na ich nowym, błyszczącym portalu internetowym i uzyskać je za darmo.