Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Koleżka myślał, że robi LABy z bezpieczeństwa webowego. A znalazł podatność path traversal jako root. W serwisie portswigger.net :-)

04 kwietnia 2024, 17:43 | W biegu | komentarzy 8

Portswigger to producent chyba najbardziej znanego narzędzia do testowania bezpieczeństwa aplikacji webowych – Burp Suite.

Za to znalezisko wypłacono $5000 w ramach bug bounty. Co my tu mamy? Opis zaczyna się dość nietypowo:

Nie zamierzałem tego zgłaszać, myślałem, że to laboratorium [do ćwiczenia podatności webowych], ale po mojej pierwszej analizie wydaje się to realne znalezisko

I wasn’t going to report it, I thought it was your laboratory but after my first analysis this seems real.

Wygląda na to że cały trick polegał na:

  1. Rekonesansie ścieżki w podatnym serwisie (https://portswigger.net/cms/audioitems/)
  2. Wykorzystaniu podwójnego slasha // (https://portswigger.net/cms/audioitems//etc/shadow)

Efekt?

Po raptem pół godziny od zgłoszenia, ekipa z Portswigger odpowiedziała dość konkretnie:

that doesn’t look good

Po ~trzech godzinach od zgłoszenia bug był poprawiony, a zgłaszający otrzymał $5000.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Skirge

    Tyż mogłem to znaleźć. Złodzij.

    Odpowiedz
  2. Fibi

    Dla lajkonika jak ja, co to oznacza? Mam widok jakichś plików i co dalej? Co z tym mogę zrobić? Zwykle wylistowanie plików zalicza się jako bug bounty? Artykuł ciekawy, ale strasznie krótki. No chyba, że płacą za artykuł ;)

    Odpowiedz
    • Wojtek

      Dostali się do miodu. Katalog z konfigami systemu + shadow, w którym są hashe haseł. Może niekoniecznie do złamania, ale jakby trafiło na chińczyków, znaleźliby zasoby, żeby to złamać.

      Odpowiedz
  3. Manveru

    Wygrał fuksiarz los na loterii.

    Ale cóż, fuzzingu ścieżek URI nie robili.

    Odpowiedz
    • Tomasz

      Czym jest fuzzing? Pyta laik

      Odpowiedz
      • skirge

        Testowanie z użyciem danych losowych bądź ze słownika. Taka podstawa testowania – bierzemy -1,0,65535 i podstawiamy tam gdzie aplikacja spodziewa się liczb. W ścieżki podstawiamy /admin, ,/admin/login, /debug itd.

        Odpowiedz
  4. Izi

    I teraz pytanie czy admini którzy tworzyli serwis do działań w zakresie cybersec mają pojęcie o bezpieczeństwie przy tworzeniu stron www czy specjalnie doszło do zaniedbań. Ja np ostatnio zmapowałem sieć biedronki i znalazłem serwer na którym bez logowania na dzień dobry pokazywał wszystkie smsy kto z kim się komunikuje, w jakich sprawach etc. Były widoczne także kody OTP albo linki do śledzenia paczek

    Odpowiedz
  5. Większość całych stron www z zawartością serwera można ściągnąć tylko trzeba mieć odpowiednie narzędzia do tego 😁😉

    Odpowiedz

Odpowiedz