Il peggior buco di sicurezza che hai visto? [chiuso]

Qual è la peggior falla di sicurezza che tu abbia mai visto? È probabilmente una buona idea limitare i dettagli per proteggere i colpevoli.

Per quello che vale, ecco una domanda su cosa fare se trovi una falla nella sicurezza, e un'altra con alcune risposte utili se un'azienda non sembra (sembra) rispondere.

Dall'inizio dei negozi online:

Ottenere uno sconto del 90% inserendo .1 nel campo quantità del carrello. Il software calcolò correttamente il costo totale come costo di .1 * e l'imballaggio umano semplicemente superò il dispari "." di fronte alla quantità da imballare :)

La falla di sicurezza meno perdonabile, e purtroppo molto comune e facile da trovare, è l' hacking di Google . Caso in questione:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

È incredibile quante pagine su Internet, in particolare i siti governativi, passano una query SQL attraverso la stringa di query. È la peggior forma di iniezione SQL e non ci vuole alcuno sforzo per trovare siti vulnerabili.

Con piccole modifiche, sono stato in grado di trovare installazioni non protette di phpMyAdmin, installazioni non protette di MySQL, stringhe di query contenenti nomi utente e password, ecc.

Ingegneria sociale:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

Da bash.org

Storia vera dai miei primi giorni in Microsoft.

Non hai conosciuto paura fino al giorno in cui ti svegli e vedi il titolo su ZDNet.com quella mattina è "Il peggior buco della sicurezza di Internet Explorer mai scoperto in" Blah " " dove "Blah" è il codice che hai scritto sei mesi prima .

Immediatamente dopo aver iniziato a lavorare ho controllato i registri delle modifiche e ho scoperto che qualcuno di un altro team - qualcuno di cui ci fidavamo per apportare modifiche al prodotto - aveva verificato il mio codice, modificato un sacco di impostazioni della chiave del registro di sicurezza senza motivo, ricontrollato e non ho mai avuto una revisione del codice o ne ho parlato con nessuno. Fino ad oggi non ho idea di cosa diavolo pensasse di fare; lasciò la compagnia poco dopo. (Di sua iniziativa.)

(AGGIORNAMENTO: alcune risposte ai problemi sollevati nei commenti:

In primo luogo, nota che ho scelto di assumere la posizione di beneficenza secondo cui i cambiamenti della chiave di sicurezza erano involontari e basati sulla disattenzione o sulla non familiarità, piuttosto che sulla malizia. Non ho prove in un modo o nell'altro e credo che sia saggio attribuire errori alla fallibilità umana.

In secondo luogo, i nostri sistemi di check-in sono molto, molto più potenti ora di quanto non fossero dodici anni fa. Ad esempio, ora non è possibile effettuare il check-in del codice senza che il sistema di check-in invii tramite e-mail l'elenco delle modifiche alle parti interessate. In particolare, le modifiche apportate alla fine del ciclo della nave hanno un sacco di "processo" attorno a loro che garantisce che vengano apportate le giuste modifiche per garantire la stabilità e la sicurezza del prodotto.)

Comunque, il bug era che un oggetto che NON era sicuro per essere usato da Internet Explorer era stato rilasciato accidentalmente come contrassegnato come "sicuro per gli script". L'oggetto era in grado di scrivere file binari - in realtà librerie di tipi di automazione OLE - in posizioni arbitrarie del disco. Ciò significava che un utente malintenzionato poteva creare una libreria di tipi che conteneva determinate stringhe di codice ostile, salvarlo in un percorso che era un percorso eseguibile noto, dargli l'estensione di qualcosa che avrebbe causato l'esecuzione di uno script e sperare che in qualche modo l'utente eseguirà accidentalmente il codice. Non conosco attacchi di successo nel "mondo reale" che hanno utilizzato questa vulnerabilità, ma è stato possibile creare un exploit funzionante con esso.

Abbiamo spedito una patch dannatamente veloce per quella, lascia che te lo dica.

Ho causato e successivamente risolto molti più buchi di sicurezza in JScript, ma nessuno di loro è mai arrivato vicino alla pubblicità che si faceva.

Spero che tu possa individuare ciò che non va qui. (Terribilmente sbagliato, in effetti):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

L'ultimo destinatario è stato il più felice;)

I vecchi terminali stupidi IBM System 36 avevano una combinazione di tasti che avviava la registrazione di una macro. Quindi, quando un terminale non è stato registrato, è possibile avviare la registrazione di una macro e lasciarlo in quella posizione. La prossima volta che qualcuno ha effettuato l'accesso, i tasti sarebbero stati registrati nella macro e la registrazione sarebbe terminata automaticamente quando fossero state registrate le chiavi massime consentite. Torna più tardi e riproduci la macro su accesso automatico.

Il peggior buco di sicurezza che io abbia mai visto è stato effettivamente codificato dal tuo e ha causato il Google Bot per eliminare il mio intero database.

Quando stavo imparando ASP classico per la prima volta, ho codificato la mia applicazione blog di base. La directory con tutti gli script admin è stata protetta da NTLM su IIS. Un giorno sono passato a un nuovo server e ho dimenticato di proteggere nuovamente la directory in IIS (oops).

La home page del blog aveva un collegamento alla schermata di amministrazione principale e la schermata di amministrazione principale aveva un DELETE LINK per ogni record (senza conferma).

Un giorno ho trovato tutti i record nel database cancellati (centinaia di voci personali). Pensavo che qualche lettore fosse entrato nel sito e avesse cancellato maliziosamente ogni record.

Sono venuto a scoprirlo dai registri: il Google Bot aveva eseguito la scansione del sito, seguito il collegamento dell'amministratore e proceduto a seguire tutti i ELIMINA LINK, eliminando così ogni record nel database. Mi sembrava di meritare il premio Dumbass of the Year che veniva inavvertitamente compromesso da Google Bot.

Per fortuna ho avuto i backup.

Il buco peggiore che abbia mai visto è stato un bug in un'applicazione web in cui dare un nome utente e una password vuoti ti farebbe accedere come amministratore :)

Una volta notato questo sull'URL di un sito web.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

La modifica dell'ultimo parametro in admin = 1 mi ha dato i privilegi di amministratore. Se hai intenzione di fidarti ciecamente dell'input dell'utente, almeno non telegrafare che lo stai facendo!

L'ho visto in The Daily WTF .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

Niente può battere questo IMHO.

In un'università non meno, che rimarrà senza nome, hanno avuto tutte le loro domande di azione passate attraverso l'URL anziché il modulo pubblicato.

La cosa ha funzionato a meraviglia fino a quando Google Bot è arrivato e ha esaminato tutti i loro URL e cancellato il loro database.

Sorpreso che nessuno abbia sollevato l'ingegneria sociale, ma ho preso un calcio fuori da questo articolo .

Riepilogo: gli utenti malintenzionati possono acquistare alcune dozzine di unità flash, caricarle con un virus o un trojan a esecuzione automatica, quindi cospargere tali unità flash nel parcheggio di un'azienda a tarda notte. Il giorno dopo, tutti si presentano al lavoro, inciampano nell'hardware lucido, a forma di caramella, irresistibile e si dicono "oh wow, flash drive gratuito, mi chiedo cosa ci sia!" - 20 minuti dopo viene cancellata l'intera rete aziendale.

"Pedo mellon a minno" , "Parla amico ed entra", alle porte di Moria.

Microsoft Bob
(Credit: Dan's 20th Century Abandonware )

Se inserisci la password in modo errato per la terza volta, ti verrà chiesto se hai dimenticato la password.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

Ma invece di avere sicurezza, come continuare a richiedere la password corretta fino a quando non viene inserita o bloccarti dopo un numero di tentativi errati, puoi inserire qualsiasi nuova password e sostituirà quella originale! Chiunque può farlo con qualsiasi account Microsoft Bob "protetto" con password.

Non è richiesta alcuna autenticazione precedente. ciò significa che l'Utente1 potrebbe cambiare la propria password semplicemente digitando la password tre volte e inserendo una nuova password per la quarta volta, senza dover mai usare "cambia password".

Significa anche che Utente1 potrebbe cambiare le password di Utente2, Utente3 ... esattamente allo stesso modo. Qualsiasi utente può modificare la password di qualsiasi altro utente semplicemente digitando in modo errato tre volte, quindi inserendo una nuova password quando richiesto - e quindi può accedere all'account.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

Avevo il vecchio indirizzo di casa di Joe X e avevo bisogno di conoscere il suo nuovo indirizzo attuale nella stessa città, ma non avevo modo di contattarlo. Ho pensato che stesse ricevendo la solita pila quotidiana di cataloghi di vendita per corrispondenza, quindi ho arbitrariamente chiamato il numero 800 per See's Candies (al contrario di Victoria's Secret, o Swiss Colony o di qualsiasi altro grande mailer):

Io: "Ciao, sono Joe X. Penso che tu mi abbia inserito nella tua mailing list due volte, sia al mio vecchio indirizzo che al mio nuovo indirizzo. Il tuo computer mi mostra al [vecchio indirizzo] o al [indirizzo falso] ?"

Operatore: "No, ti mostriamo a [nuovo indirizzo]."

Dare 1 = 1 in una casella di testo elenca tutti gli utenti nel sistema.

Essendo un consulente per la sicurezza delle applicazioni per vivere, ci sono molti problemi comuni che ti consentono di ottenere l'amministratore su un sito Web tramite qualcosa. Ma la parte davvero interessante è quando puoi comprare un milione di dollari di calze.

Era un mio amico che lavorava a questo concerto, ma il fatto era che i prezzi degli articoli in un certo negozio di libri online ora molto popolare (e tutto il resto) erano memorizzati nello stesso HTML come un campo nascosto. Nei primi tempi questo bug ha colpito molti negozi online, stavano appena iniziando a capire il web. Pochissima consapevolezza della sicurezza, intendo davvero chi scaricherà l'HTML, modificherà il campo nascosto e reinoltrerà l'ordine?

Naturalmente abbiamo cambiato il prezzo a 0 e ordinato 1 milione di paia di calze. È inoltre possibile modificare il prezzo in negativo, ma in tal modo una parte del loro overflow del buffer del software di fatturazione back-end termina la transazione.

Se potessi sceglierne un altro, si tratterebbe di problemi di canonicalizzazione del percorso nelle applicazioni web. È meraviglioso poter fare foo.com?file=../../../../etc/passwd

Commettere accidentalmente la password di root del database sul controllo del codice sorgente. Era piuttosto male, perché era il controllo del codice sorgente su Sourceforge.

Inutile dire che la password è stata cambiata molto rapidamente.

Non modificare le password dell'amministratore quando i dipendenti IT chiave lasciano l'azienda.

Anche se questo non è il peggior buco di sicurezza che abbia mai visto. Ma questo è almeno il peggio che mi sono scoperto:

Un negozio online di successo per audiolibri ha utilizzato un cookie per memorizzare le informazioni di identificazione dell'utente corrente dopo l'autenticazione riuscita. Ma potresti facilmente cambiare l'ID utente nel cookie e accedere ad altri account e acquistarli.

Proprio all'inizio dell'era .com, stavo lavorando per un grande rivenditore all'estero. Abbiamo osservato con grande interesse i nostri concorrenti che hanno lanciato un negozio online mesi prima di noi. Certo, siamo andati a provarlo ... e abbiamo subito capito che i nostri carrelli della spesa si stavano confondendo. Dopo aver giocato un po 'con la stringa di query, ci siamo resi conto che potevamo dirottare le reciproche sessioni. Con un buon tempismo, potresti cambiare l'indirizzo di consegna ma lasciare solo il metodo di pagamento ... tutto ciò dopo aver riempito il carrello con i tuoi articoli preferiti.

Quando sono entrato per la prima volta nella società in cui lavoro attualmente, il mio capo stava esaminando il sito Web di e-commerce esistente di un potenziale nuovo cliente. Ciò avveniva nei primi tempi sia di IIS che dell'e-commerce e, per così dire, la sicurezza era tutt'altro che rigorosa.

Per farla breve, ha modificato un URL (solo per curiosità) e ha capito che la navigazione nella directory non era disattivata, quindi potevi semplicemente tagliare il nome della pagina alla fine dell'URL e vedere tutti i file sul server web.

Abbiamo finito per sfogliare una cartella contenente un database di Access, che abbiamo scaricato. Era l'intero database di clienti / ordini e-commerce, pieno di diverse migliaia di numeri di carte di credito non crittografati.

Le persone che pubblicano le loro password su siti Web pubblici ...

Quando avevo 13 anni la mia scuola ha aperto un social network per gli studenti. Purtroppo per loro ho trovato un bug di sicurezza in cui è possibile modificare l'URI in un altro ID utente come "? ID utente = 123" e accedere per quell'utente. Ovviamente l'ho detto ai miei amici e alla fine il social network delle scuole era pieno di porno.

Non lo consiglierei però.

Penso che il campo vuoto nome utente / password per l'accesso dei superutente sia di gran lunga il peggiore. Ma uno che mi sono visto era

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

Peccato che un operatore faccia una differenza così grande.

Il mio sarebbe per una banca di cui ero cliente. Non sono stato in grado di accedere, quindi ho chiamato il servizio clienti. Mi hanno chiesto il mio nome utente e nient'altro - non hanno fatto domande sulla sicurezza o cercato di verificare la mia identità. Quindi, invece di inviare una reimpostazione della password all'indirizzo di posta elettronica che avevano in archivio, mi hanno chiesto a quale indirizzo di posta elettronica inviarlo. Ho dato loro un indirizzo diverso da quello che avevo in archivio e sono riuscito a reimpostare la mia password.

Quindi, in sostanza, tutto ciò che un hacker avrebbe bisogno è il mio nome utente, e quindi potrebbe accedere al mio account. Questo è stato per una grande banca di cui almeno il 90% delle persone negli Stati Uniti avrebbe sentito parlare. Questo è successo circa due anni fa. Non so se fosse un rappresentante del servizio clienti scarsamente addestrato o se quella fosse una procedura standard.

Ne condividerò uno che ho creato. Tipo.

Anni e anni fa l'azienda per cui lavoravo cercava l'indicizzazione sul loro sito Web ASP. Così sono andato e ho installato Index Server, ho escluso alcune directory di amministrazione e tutto è andato bene.

Per quanto sconosciuto a me qualcuno aveva dato a un venditore l'accesso ftp al web server in modo che potesse lavorare da casa, questo era il giorno del dialup ed era il modo più semplice per lui di scambiare file .... e ha iniziato a caricare cose, compresi i documenti che descrivono dettagliatamente il markup sui nostri servizi .... quale server di indicizzazione indicizza e inizia a essere pubblicato quando le persone cercano "Costi".

Ricorda i bambini, le whitelist non le blacklist.

Uno dei più semplici, ma davvero convenienti è:

Sistemi di pagamento che utilizzano motori come PayPal possono essere difettosi perché la risposta di PayPal dopo il pagamento ha avuto esito positivo non viene controllata come dovrebbe essere.

Per esempio:

Posso andare su un sito Web per l'acquisto di CD e aggiungere alcuni contenuti al carrello, quindi durante le fasi di pagamento di solito c'è un modulo nella pagina che è stato popolato con campi per paypal e un pulsante di invio a "Paga".

Usando un DOM Editor posso andare nel modulo "live" e cambiare il valore da £899.00a£0.01 quindi fare clic su Invia ...

Quando sono sul lato PayPal, vedo che l'importo è di 1 centesimo, quindi lo pago e PayPal reindirizza alcuni parametri al sito di acquisto iniziale, che convalida solo parametri come payment_status=1 , ecc., Ecc. E non convalidare l'importo pagato.

Ciò può essere costoso se non dispongono di una registrazione sufficiente o se i prodotti vengono spediti automaticamente.

Il peggior tipo di siti sono siti che forniscono applicazioni, software, musica, ecc.

Che ne dici di un gestore di documenti online, che ha permesso di impostare tutte le autorizzazioni di sicurezza che ricordi ...

Questo fino a quando non si arriva alla pagina di download ... download.aspx? DocumentId = 12345

Sì, documentId era l'ID del database (incremento automatico) e si poteva eseguire il loop di ogni singolo numero e chiunque poteva ottenere tutti i documenti dell'azienda.

Quando avvisato per questo problema, la risposta del project manager è stata: Ok, grazie. Ma nessuno l'ha notato prima, quindi continuiamo così.

Una consegna di pizza norvegese ha avuto un buco di sicurezza in cui è possibile ordinare quantità negative di pizze nel loro nuovo e lucido portale Internet e ottenerle gratuitamente.