Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Wykonanie kodu na serwerze Yahoo… jedną linijką
Przygoda rozpoczęła się od rekonesansu – czyli użyciu narzędzi typu Zoomeye, czy Shodan w celu znalezienia odpowiedniego celu. Niezłym celem okazał się datax.yahoo.com, gdzie po krótkim bruteforce katalogów na webserwerze, udało się zlokalizować API.
Finalnie udało się wykorzystać w stosunkowo prosty sposób podatność w SpEL (Spring Expression Language) i po chwili mieliśmy już wykonanie kodu. Poniżej przykład z uruchomieniem polecenia id (w wyniku widzimy tylko ciąg UnixProcess@…, ale polecenie się wykonało, i niewiele więcej trzeba żeby jego wynik wyświetlić w odpowiedzi):
id
Ćwiczenie zostało wykonane w ramach Yahoo bug bounty, a badacz otrzymał $8 000 za zgłoszenie podatności.
–ms
$8 000 za taką podatność to trochę śmiesznie nisko. Jakby ktoś wykradł (znowu) bazę danych, mogli by stracić miliony.
A kto powiedział, że ta podatności może prowadzić do wykradnięcia jakichkolwiek danych wrażliwych? Może właśnie dlatego tak „nisko”, bo tylko da się wykonać kod w jakiejś piaskownicy? Brak szerszego kontekstu, ale zakładam że jakby podatność otwierała furtkę do danych wrażliwych to Yahoo więcej gelda by posypało :)
Takie newsy ukazują przy okazji cały bezsens testów penetracyjnych.
Jakie są faktyczne ryzyka i dla kogo ?
Tzn. jak pokazują? :-)
To znaczy że nic nie wiem o tym serwerze poza tym że jest podpięty do domeny yahoo.
Może stoi w home.pl, może jest zapomnianym serwerem testowym stojącym w DMZ-ecie kompletnie odseparowanym od wszystkiego, a może ma połączenie do bazy danych klientów. Jeżeli ta informacja miałby w ogóle nieść ze sobą jakąkolwiek wartość to takie szczegóły robią różnicę.
Rozumiem że BB spełnia określoną rolę w procesie bezpieczeństwa, ale moim zdaniem newsy tego typu nie niosą ze sobą żadnej wartości merytorycznej.
Takie trochę pudelkowe bezpieczeństwo.