Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Zaopatrz się w najnowszą książkę sekuraka!

Wprowadzenie do bezpieczeństwa IT

Koleżka myślał, że robi LABy z bezpieczeństwa webowego. A znalazł podatność path traversal jako root. W serwisie portswigger.net :-)

04 kwietnia 2024, 17:43 | W biegu | komentarzy 8
Tagi: ,

Portswigger to producent chyba najbardziej znanego narzędzia do testowania bezpieczeństwa aplikacji webowych – Burp Suite.

Za to znalezisko wypłacono $5000 w ramach bug bounty. Co my tu mamy? Opis zaczyna się dość nietypowo:

Nie zamierzałem tego zgłaszać, myślałem, że to laboratorium [do ćwiczenia podatności webowych], ale po mojej pierwszej analizie wydaje się to realne znalezisko

I wasn’t going to report it, I thought it was your laboratory but after my first analysis this seems real.

Wygląda na to że cały trick polegał na:

  1. Rekonesansie ścieżki w podatnym serwisie (https://portswigger.net/cms/audioitems/)
  2. Wykorzystaniu podwójnego slasha // (https://portswigger.net/cms/audioitems//etc/shadow)

Efekt?

Po raptem pół godziny od zgłoszenia, ekipa z Portswigger odpowiedziała dość konkretnie:

that doesn’t look good

Po ~trzech godzinach od zgłoszenia bug był poprawiony, a zgłaszający otrzymał $5000.

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Skirge
    5 kwietnia, 2024 | 10:36 am

    Tyż mogłem to znaleźć. Złodzij.

    Odpowiedz
  2. Fibi
    5 kwietnia, 2024 | 5:43 pm

    Dla lajkonika jak ja, co to oznacza? Mam widok jakichś plików i co dalej? Co z tym mogę zrobić? Zwykle wylistowanie plików zalicza się jako bug bounty? Artykuł ciekawy, ale strasznie krótki. No chyba, że płacą za artykuł ;)

    Odpowiedz
    • Wojtek
      11 kwietnia, 2024 | 10:03 am

      Dostali się do miodu. Katalog z konfigami systemu + shadow, w którym są hashe haseł. Może niekoniecznie do złamania, ale jakby trafiło na chińczyków, znaleźliby zasoby, żeby to złamać.

      Odpowiedz
  3. Manveru
    5 kwietnia, 2024 | 8:05 pm

    Wygrał fuksiarz los na loterii.

    Ale cóż, fuzzingu ścieżek URI nie robili.

    Odpowiedz
    • Tomasz
      10 kwietnia, 2024 | 7:30 pm

      Czym jest fuzzing? Pyta laik

      Odpowiedz
      • skirge
        16 kwietnia, 2024 | 3:22 pm

        Testowanie z użyciem danych losowych bądź ze słownika. Taka podstawa testowania – bierzemy -1,0,65535 i podstawiamy tam gdzie aplikacja spodziewa się liczb. W ścieżki podstawiamy /admin, ,/admin/login, /debug itd.

        Odpowiedz
  4. Izi
    5 kwietnia, 2024 | 9:10 pm

    I teraz pytanie czy admini którzy tworzyli serwis do działań w zakresie cybersec mają pojęcie o bezpieczeństwie przy tworzeniu stron www czy specjalnie doszło do zaniedbań. Ja np ostatnio zmapowałem sieć biedronki i znalazłem serwer na którym bez logowania na dzień dobry pokazywał wszystkie smsy kto z kim się komunikuje, w jakich sprawach etc. Były widoczne także kody OTP albo linki do śledzenia paczek

    Odpowiedz
  5. Mariusz
    10 kwietnia, 2024 | 7:45 am

    Większość całych stron www z zawartością serwera można ściągnąć tylko trzeba mieć odpowiednie narzędzia do tego 😁😉

    Odpowiedz

Odpowiedz