-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Tag: api

GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

07 listopada 2019, 19:50 | Aktualności | komentarze 2
GitHub: nieautoryzowany dostęp do kont użytkowników -> przyznano nagrodę ~100 000zł

Ta podatność w GitHub-ie warta jest wspomnienia ze względu na kilka różnych ciekawostek. Całość dotyczy wydawałoby się bezpiecznego mechanizmu OAuth. Ale od początku, GitHub definiuje taki URL: https://github.com/login/oauth/authorize Realizuje on dwie funkcje – jeśli dostaniemy się tam GET-em otrzymujemy ekran logowania, z kolei POST wysyłany jest w momencie kiedy użytkownik…

Czytaj dalej »

Można było przejmować konta połączone z inteligentnym różańcem od Watykanu

19 października 2019, 20:07 | W biegu | 0 komentarzy
Można było przejmować konta połączone z inteligentnym różańcem od Watykanu

Podatność wykryto w aplikacji Click to Pray sterującej urządzeniem IoT od Watykanu: inteligentnym różańcem: Jak donosi CNET, problem występował w mechanizmie tworzenia konta – należało podać e-mail, na który był wysyłany kod PIN (odpowiednik hasła). Wszystko w porządku, tylko operację można było wykonać ponownie (znając e-mail ofiary), a PIN był…

Czytaj dalej »

Nowa podatność masakrująca API RESTowe. Jeśli jesteś programistą lepiej to zobacz…

07 października 2019, 22:27 | W biegu | komentarze 4
Nowa podatność masakrująca API RESTowe. Jeśli jesteś programistą lepiej to zobacz…

Chodzi o niby znaną od dłuższego czasu klasę Mass Assignment, która najwyraźniej przeżywa drugą młodość. Przesyłasz np. JSON-em dane nowego użytkownika do API, co jest mapowane na stosowny obiekt i zapisywane do bazy. Proste ale i niebezpieczne. Bo co się stanie, jeśli ktoś do JSON-a doda klucz „admin”: true ?. Będziemy…

Czytaj dalej »

Z GitHuba ciekną poufne dane aż (nie)miło. Wycieki można oglądać w czasie rzeczywistym.

26 września 2019, 11:14 | W biegu | 1 komentarz
Z GitHuba ciekną poufne dane aż (nie)miło. Wycieki można oglądać w czasie rzeczywistym.

Hasła, klucze API, pliki konfiguracyjne, pliki z hasłami i innymi poufnymi danymi.  W sumie około 120 tego typu 'źródeł’. Czy te dane rzeczywiście są poufne? Wg ich właścicieli nie, bo udostępnili je publicznie na GitHub-ie (pozostaje pytanie czy w sposób świadomy). 'Filmik’ z wycieków, realizowany w czasie rzeczywistym dostępny jest…

Czytaj dalej »

OAuth2, JWT, problemy z autoryzacją, uprawnieniami, klucze API, JWT, … z sekurakiem zaoszczędzisz miesiące pracy

17 kwietnia 2019, 11:58 | W biegu | komentarze 2

Te wszystkie rzeczy na naszym zaktualizowanym szkoleniu z bezpieczeństwa API REST (prezentacja ma już czternaste rozszerzenie; treść cały czas jest uzupełniana o aktualne problemy!). Kurs przeznaczony jest przede wszystkim dla programistów / testerów – ale z wiedzy garściami korzystają też pentesterzy. Nie będziemy Was zalewać pozytywnymi opiniami o szkoleniu –…

Czytaj dalej »

Jak wyciekać dane to w setkach milionów. Zupełnie niezabezpieczone API dostępne przez kilka lat…

17 kwietnia 2019, 10:24 | W biegu | 1 komentarz

Lepiej uczyć się na cudzych błędach… tym razem Hacker News donosi o wycieku danych przeszło 100 milionów użytkowników z największej (natywnie) indyjskiej wyszukiwarki Justdial: Dlaczego piszemy o takim dość egzotycznym przypadku? Otóż jest tutaj jedna lekcja do zapamiętania – dostępny od 2015 roku endpoint API był starym, obecnie nieużywanym mechanizmem. Jednak…

Czytaj dalej »

Smartwatch dla dzieci – każdy mógł je lokalizować, zmieniać lokalizację, słuchać z dowolnego zakątka na świecie

16 kwietnia 2019, 14:59 | W biegu | komentarze 4

Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich). W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie…

Czytaj dalej »

Przechowywanie klucza API w aplikacji mobilnej to nie jest najlepszy pomysł…

15 marca 2019, 12:07 | W biegu | komentarzy 5

Przekonali się o tym deweloperzy jednej z kontrowersyjnych appek o dość nietypowym zadaniu – wskazywanie amerykańskich restauracji, gdzie bezpiecznie jest nosić czapkę z logo 'Make America Great Again’. Ale zostawmy politykę na boku. Appka napisana w React Native, zaszyty w niej klucz do API oraz adresy URI backendu: Oczywiście można było…

Czytaj dalej »

Banalny exploit na Drupala – można przejąć serwer bez uwierzytelnienia

23 lutego 2019, 13:41 | W biegu | 1 komentarz

Niewiele trzeba było czekać na analizę ostatniego patcha wydanego przez ekipę Drupala. Jeśli mamy dostępne API RESTowe możemy wykonać taki request: POST /drupal-8.6.9/node/1?_format=hal_json HTTP/1.1 Host: 192.168.56.101 Content-Type: application/hal+json Content-Length: 286 { „_links”: { „type”: { „href”: „http://192.168.56.101/drupal-8.6.9/rest/type/node/article” } }, „type”: { „target_id”: „article” }, „title”: { „value”: „My Article” },…

Czytaj dalej »

Drupal Core – krytyczna podatność w API umożliwiająca przejęcie serwera

21 lutego 2019, 09:38 | W biegu | 0 komentarzy

Właśnie załatano krytyczną podatność w Drupalu. Wiemy na razie niezbyt wiele – na pewno można ją wykorzystać bez uwierzytelnienia oraz ma ona miejsce w module API. Warunkiem możliwości wykorzystania podatności jest prawdopodobnie udostępnienie / włączenie jakiegokolwiek API. Więc na szybko Drupal zaleca wyłączenie metod RESTowych: PUT/PATCH/POST (choć najlepiej podnieść do wersji…

Czytaj dalej »

Amerykańska poczta dziurawa jak szwajcarski ser. Przez API można było czytać / zmieniać dane 60 milionów użytkowników

21 listopada 2018, 22:17 | W biegu | komentarze 4

Opis małej afery tutaj. Ciekawym jest fakt, że badacz poinformował USPS o problemie przeszło rok temu, ale nie doczekał się odpowiedzi. Poszedł więc do Briana Krebsa, który rozkręcił aferę. W API mieliśmy względnie klasyczne błędy autoryzacyjne, umożliwiające na dostęp do danych innych klientów: In addition to exposing near real-time data about packages…

Czytaj dalej »

Można było pobrać wszystkie klucze, wszystkich gier z całego Steam

09 listopada 2018, 19:53 | W biegu | komentarze 4

Zobaczcie na opis tego błędu: „Getting all the CD keys of any game” mówi samo za siebie. Podatność istniała w API Steamworks, a dokładniej tutaj: partner.steamgames.com/partnercdkeys/assignkeys/ Wśród przekazywanych parametrów były:  appid (ID gry), keyid (ID zbioru kluczy aktywacyjnych) oraz keycount (ile kluczy ma być zwrócone). Jeśli teraz podawaliśmy grę + np. pierwszy zbiór…

Czytaj dalej »

„Potencjalny” wyciek prywatnych danych 500 000 użytkowników Google+

08 października 2018, 22:16 | W biegu | komentarze 4

W skrócie, niezabezpieczone API Google+ umożliwiało nieautoryzowany dostęp do danych użytkowników: imię, e-mail, zawód, płeć, wiek. Podatny użytkownik najpierw musiał dać dostęp do swoich publicznych danych profilu dowolnej, zewnętrznej aplikacji G+ (niegroźne, prawda?). Ale dostęp był dawany również do pól prywatnych oraz do pól prywatnych przyjaciół: When a user gave…

Czytaj dalej »

Anonimowo można było namierzać lokalizację niemal wszystkich telefonów komórkowych w USA

18 maja 2018, 00:16 | W biegu | komentarze 2

Brian Krebs donosi o podatności w API firmy LocationSmart:  it could be used to reveal the location of any AT&T, Sprint, T-Mobile or Verizon phone in the United States to an accuracy of within a few hundred yards. Sam autor znaleziska pisze wręcz o możliwości namierzania w czasie rzeczywistym lokalizacji „wszystkich” telefonów komórkowych w USA: I…

Czytaj dalej »

Bezpieczeństwo API REST – unikalna wiedza od sekuraka

07 maja 2018, 19:07 | Aktualności | komentarze 4
Bezpieczeństwo API REST – unikalna wiedza od sekuraka

Około 40 świeżych, realnych przypadków podatności w API REST (niektóre raptem sprzed miesiąca), rekonesans API, omijanie restrykcji do metod HTTP, niebezpieczeństwa JWT, wycieki kluczy API, ponad 60 punktowa checklista ułatwiająca sprawdzić swoje API pod względem bezpieczeństwa, ćwiczenia warsztatowe – to tylko kilka punktów które realizujemy na naszych warsztatach z bezpieczeństwa API REST.  

Czytaj dalej »