さあ始めましょう!
現在、フリーランスは、Webセキュリティの原則に関する知識をすべて活用しています。 プロファイルハブの読み取りも、インターネットからの多数の記事も、小さな実用的な実験も、何も通用していません。 今、彼は私たちの物語で彼を呼ぶように、もはやフリーランサーではなく、ペンタスターでした。 最初のページの1つの検索フォームから開始することが決定されました。 だから... Sqli、いや、しかしXSS ...たぶん! フィルタリングはフィールドに存在していましたが、厳密ではありませんでした。 これが、リソースの研究に対する真の関心が始まるところです! 約15分が攻撃ベクトルの開発に費やされました。ここでは、待望の「おっと!」が警告ウィンドウの画面に表示されました。 しかし、Pentesterのさらなるイベントは少し動揺しました。ユーザー名フィールドに安定したアクティブなXSSがありました。 次のページで、サイトのメインページで注文フィードにコードを挿入する隠された機能があったときに、通常のパッシブXSSに勝つのは残念でした! 邪悪な思いが頭の中で紡がれましたが、もし... ペンタスターは、見つかった穴を活用するつもりはありませんでした。 彼は満足し、リソースの管理に関するレポートを書くために座った。 しかし、ここで終わらせる運命にあるなら、それはあまりにも退屈な話です。
もっと面白い
新しいフリーランサーサイトの管理者であり、単に管理者と呼びますが、リソースに関するフィードバックフォームが無効になっており、メールボックスが機能していないことをよく知っていました。 したがって、彼はこの特定のサイトに関連する電話に驚かなかった。 セキュリティの問題に関する声明に応えて、彼はこの問題に非常に興味があると述べ、連絡先の電子メールを送りました。 ペンタスターはノートにお気に入りのジェルペンを使って書き留め、30分後にはすでに返事の手紙を待っていました。 答えは私を待ちました。 脆弱性はできるだけ早く削除されると述べており、Pentesterには少額の金銭的報酬が約束されていました。 この事実は貧しい学生を喜ばせました、正直な仕事のための正直なお金は彼が今欠けていたものです。 彼は詳細を残して待っていました。 二日。 一週間。 月 日は短くなり、サイト管理者はそれを忘れているように見えました。 管理者、そして手紙を読んだのは彼であり、メールへの返信さえ拒否しました。 そしてここで、Pentesterは、フリーランス交換の分析に真剣に取り組むことにしました。 彼はその理由すら知らず、この作品が好きだった。
取引、紳士!
研究は始まった。 簡単な検査で、サイトがサードパーティのCMSで構築されていることがわかりましたが、すぐには特定できませんでした。 検索ページのフォームや個人情報を表示しても何も得られませんでした。 POSTおよびGETリクエストで送信された他のすべてのデータを変更しても、新しいことは明らかになりませんでした。 しかし、サイトの作業にはもう1つの側面が残っていましたが、注意が払われていませんでした。注文の手順です。 そして、その中に特定の関心を呼び起こした瞬間が残った。 それはチェックするために残った...そしてはい! 請負業者と顧客との間のやり取りの時点での完成した作業のファイルは、標準のアクセス権を持つフォルダに単に置かれ、拡張子によってフィルタリングされませんでした。 ペンテスター氏は、非常に幼稚な間違いで、取引高が数十万ルーブルで測定された取引所がそのような見落としを許すことさえ信じられないと考えていた。 そして、新たにハッキングされたクラッカーはそれを使用せざるを得ませんでした。 phpシェルをディスクから永続的に消去するアンチウイルスとの小さな戦争の後、スクリプトはサーバーに正常にアップロードされました。 マウスとPentesterを数回クリックすると、モニターにウェルカムシェルメニューとサイトのルートディレクトリのファイルが表示されました。
中身は何ですか?
どのようなCMSがペンタスターにとても親切であり、それが厳しく禁止されている場所に冷静に放しましたか?
/** * Home page loader * * @package Cotonti * @version 0.0.3 * @author Neocrome, Cotonti Team * @copyright Copyright (c) Cotonti Team 2008-2009 * @license BSD */
したがって、最初に開いているファイルの最初の行を読んでください。 これが答えです-ウィキペディアによると、それはCotontiでした。これは、PHPインジェクション、タイプと一致しないファイルのダウンロード、SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF) )など。」 ご覧のとおり、無料の百科事典に書かれているすべてを信じてはいけませんが、技術専門の少し精通した学生でも、これはすでに明らかです。 データベースの分析により、md5標準の8桁のパスワードは、無料のハッシュデータベースに十分な強度があることが示されました。 しかし、ユーザーが設定したパスワードは、このようなチェックに合格せず、まるでクラックされました。 数字は日付に似ており、英語のレイアウトで書かれた9桁の姓も1つです。 判明したように、作業の結果を詳細に調べると、デジタルパスワードはテストユーザーのものであり、唯一のものは完全に非暗号化パスワードに変更されました。 まだ残っている唯一のオフィスに座っていた会社の従業員は、彼女に来た学生に注文を出しましたが、もっと珍しい形でした。 ちなみに、彼女のアカウントには数十万ルーブルがありましたが、私たちのペンタスターは触れませんでした。 彼の他の計画は成熟しています。
ミリオンバックストリック
管理者は人生を生き、サイトの更新可能性から判断すると、それに関連するすべての問題を完全に忘れていました。 サイトは機能し、お金をもたらしました。 しかし、その晴れた日に予期しないことが起こりました。 引き出しログから判断すると、データベースに名前だけでなく、IPアドレスが自動的に入力された最後の訪問の記録さえも含まれていないユーザーの1人が、システムからかなりの額の資金を引き出しようとしました。 ユーザーは影のようでした。たとえば、影など、自分の行動に対応するIDとニックネームだけです。 深く掘り下げると、管理者はシャドウがお金を引き出すことができないことに気付きました。多値の金額はユーザー自身と同じくらい幽霊のようでした。 実際、単に存在していませんでした。 しかし、反論の余地のないマシンの記録は、その反対を述べています-お金があり、支払わなければなりません。 パニックは増加し始めていました。 その瞬間、ペンタスターは落ち着いてコーヒーを飲みました。そして、底にかなり冷たい飲み物が少しあると、彼の目は新しいメッセージの指標に落ちました。 未読のものは、ずっと前に忘れていた管理者からの手紙です。 「あなたは私たちのために練習しているのではないのですか?」 数分待った後、Pentesterは別のコーヒーを飲み、管理者の番号にダイヤルしました。
「こんにちは」と彼は冷静に言った、「あなたの最後の手紙から判断すると、あなたには問題があり、何が起こるか知っていることさえ理解しています。」 事実は、あなたが私を忘れる瞬間まで、私はあなたにリソースのすべてのセキュリティホールを明らかにしなかったということです。 あなたに何が起こったのか、詳しく教えてください。
これに対応して、管理者は受信機で一貫性のない音声を聞き、状況を説明しようとしました。 数分後、彼は成功しました。
「おそらく攻撃者にとってどのように機能するか理解しているだろう」とPentester氏は語り、適格なSQLクエリがほんの少しでもうまくいくと思いました。 -私もあなたを助けることができますが、あなたは私たちの最初の協力の時に非常にひどくしました...
会話はさらに数分間続き、多くの謝罪が含まれていました。 そして1日後、象徴的な1000ルーブルがペンタスターの口座に到着しました。 しかし、彼はもはやお金を必要としませんでした-彼は自分自身を決定するのに十分なその戸惑うような恐ろしい声を管から持っていました-正義は勝利しました。 さらに2日後、ファイル共有機能を無効にすることで管理者に通知された脆弱性が排除されました。この機能は1日後に復元されました。 影はサイトに現れると消えました。 運の悪いIDを持つユーザーがテーブルに1バイトも残さずに単に消えた瞬間にさえ、誰も気づきませんでした。
結論と結論の代わりに
ペンテスターは長い間不思議に思っていました。彼は正しいことをしましたか? 瞬間的な衝動に屈することは可能だったのでしょうか、それともストーリー全体が違って見えるはずでしたか? いずれにせよ、彼自身のために、彼はその拒否が非常に成功したと決めました。 サイトはもはやセキュリティ問題を経験せず、非常によく保護され、Pentesterはわずかなボーナスを受け取りました。 今では、フリーランサーではなくペンタスターのように、彼は魂に多くの印象を残したやり取りには決して戻っていません。