Boo🧨
Асап, так получилось, что я отсутствовал полтора года. Но вроде как, теперь есть вариант писать сюда. Пробуем новый, тестовый формат, где я описываю обезличенные случаи из своей практики AppSec.
В рамках такого формата, хотелось бы поговорить про самую частую уязвимость, которую я находил в своих проектах. Это broken access control.
Стоит отметить, что понятие уязвимости, которое может вписываться в эту категорию всегда будет разным. Так например одна уязвимость, которую можно "занести" на Bug Bounty и уяза, которую можно зарепортить во время тестирования безопасности сервиса - может иметь разную оценку по критичности.
Теперь когда с этим разобрались можно приступать к основной части.
По идее нарушенный контроль доступа или же B.A.C. (почти как ACAB) это уязвимость в веб-приложении которая позволяет злоумышленнику получить доступ к функциональности, для эксплуатации которой у него нет прав. Для этого очевидно, в приложении должна быть реализована ролевая модель. Или нет? Давайте разберем два случая. Когда она есть и когда ее нет.
В рамках тестирования сервиса X на Bug Bounty, удалось использовать уязвимость нарушенного контроля доступа чтобы запостить новость в афише от имени администратора, прикрепив туда изображение в формате svg, которое содержит в себе полезную нагрузку для триггера XSS уязвимости. Получается, что тут 2 проблемы. Это небезопасная загрузка файлов и IDOR. Если первая уяза совершенно не по теме, давайте разберемся с нашим контролем доступа.
В моем случае сервис посылал POST запрос на создание новости в афише. Изучив api, я смог посмотреть какие параметры передются в JSON через этот POST запрос и подметил для себя тот факт, что в запросе передаётся user id и другой параметр, который проверял прошла ли новость модерацию. Изменив user id на id администратора и исправив другой параметр с false на true, я получил IDOR на стероидах, который из-за отсутствия корректной валидации данных параметров со стороны обычного пользователя, без привилегий позволяет нам создать фейковую новость с кликбейтным названием, плюс ко всему еще и тригерит наш Stored XSS.
Если ролевая модель толком не реализована и сервис не позволяет нам работать через POST, PUT и PATCH запросы - имеет смысл провести разведку API для выявления "подозрительных ручек". Например сервис X не позволяет пользователям вносить изменения на стороне сервера, однако это еще не значит, что вектор нарушенного контроля доступа надо вычеркивать из флоу тестирования. В рамках тестирования, уязвимостью нарушенного контроля доступа может считаться страница, где производиться вход в админку, получаются данные дургих пользователей сервиса (критичность уязы в таком случае зависит от контекста приватности информации) или даже доступ в /metrics, где будут разглашены внутренние хосты и весь api.
Асап, так получилось, что я отсутствовал полтора года. Но вроде как, теперь есть вариант писать сюда. Пробуем новый, тестовый формат, где я описываю обезличенные случаи из своей практики AppSec.
В рамках такого формата, хотелось бы поговорить про самую частую уязвимость, которую я находил в своих проектах. Это broken access control.
Стоит отметить, что понятие уязвимости, которое может вписываться в эту категорию всегда будет разным. Так например одна уязвимость, которую можно "занести" на Bug Bounty и уяза, которую можно зарепортить во время тестирования безопасности сервиса - может иметь разную оценку по критичности.
Теперь когда с этим разобрались можно приступать к основной части.
По идее нарушенный контроль доступа или же B.A.C. (почти как ACAB) это уязвимость в веб-приложении которая позволяет злоумышленнику получить доступ к функциональности, для эксплуатации которой у него нет прав. Для этого очевидно, в приложении должна быть реализована ролевая модель. Или нет? Давайте разберем два случая. Когда она есть и когда ее нет.
В рамках тестирования сервиса X на Bug Bounty, удалось использовать уязвимость нарушенного контроля доступа чтобы запостить новость в афише от имени администратора, прикрепив туда изображение в формате svg, которое содержит в себе полезную нагрузку для триггера XSS уязвимости. Получается, что тут 2 проблемы. Это небезопасная загрузка файлов и IDOR. Если первая уяза совершенно не по теме, давайте разберемся с нашим контролем доступа.
В моем случае сервис посылал POST запрос на создание новости в афише. Изучив api, я смог посмотреть какие параметры передются в JSON через этот POST запрос и подметил для себя тот факт, что в запросе передаётся user id и другой параметр, который проверял прошла ли новость модерацию. Изменив user id на id администратора и исправив другой параметр с false на true, я получил IDOR на стероидах, который из-за отсутствия корректной валидации данных параметров со стороны обычного пользователя, без привилегий позволяет нам создать фейковую новость с кликбейтным названием, плюс ко всему еще и тригерит наш Stored XSS.
Если ролевая модель толком не реализована и сервис не позволяет нам работать через POST, PUT и PATCH запросы - имеет смысл провести разведку API для выявления "подозрительных ручек". Например сервис X не позволяет пользователям вносить изменения на стороне сервера, однако это еще не значит, что вектор нарушенного контроля доступа надо вычеркивать из флоу тестирования. В рамках тестирования, уязвимостью нарушенного контроля доступа может считаться страница, где производиться вход в админку, получаются данные дургих пользователей сервиса (критичность уязы в таком случае зависит от контекста приватности информации) или даже доступ в /metrics, где будут разглашены внутренние хосты и весь api.
Тема следующего поста (раз в год)
Anonymous Poll
36%
Опыт на Баг Баунти
45%
OAuth
19%
Покажите за что проголосовали другие
Забавно наблюдать, что после того как я впал в анабиоз на пару лет, появилось огромное количество подобных каналов , где постят какие-то скрипты с гита и тд. Еще и за безопасность рассуждают какую-то💀
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from VK Security
Спойлерим программу конференции VK Security Confab Max
💥 Опубликовали на сайте программу нашей конференции VK Security Confab Max 11 декабря
Что нас ждет? Как и обещали – лютый хардкор!
🤘 Нон-стоп!
Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.
Ключевые темы:
⭐️ Работа SOC в BigTech: управление алертами и потоком событий, требования к SIEM, а также обнаружение атак.
🛡 Защита инфраструктуры: Service Mesh, эволюция сканирования распределенной инфраструктуры и обнаружение открытых портов.
🎮 Уязвимости: Построение Vulnerability Management в современных реалиях, эксплуатация уязвимостей SSRF и mXSS и защита от них.
🔍 Bug Bounty: концепция Bug Bounty 2.0, защищенность соцсетей и серьезные уязвимости в системах, которые можно обнаружить не только багхантерам.
⚙️ Безопасность приложений (AppSec): безопасность API c применением ML и AI, поиск и приоритизация уязвимостей в зависимостях, разбор популярных сканеров и их недостатков.
💭 Защита облачных технологий: харденинг k8s, защита от атак в публичном облаке, а также техническое устройство сетевой изоляции в облаке.
📍 Москва, офис VK + трансляция онлайн
📅 11 декабря 2024 года
Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу
➡️ Подписывайтесь на канал VK Security, чтобы не пропустить новости о мероприятии
#confab #max #конференция
Что нас ждет? Как и обещали – лютый хардкор!
Два трека с техническими докладами от ведущих экспертов VK и крупнейших BigTech-компаний.
Ключевые темы:
Участие бесплатное, но мест мало
👉 жмите, чтобы зарегистрироваться и узнать программу
#confab #max #конференция
Please open Telegram to view this post
VIEW IN TELEGRAM
https://team.vk.company/confabmax/?utm_source=tg&utm_medium=vksecurity&utm_campaign=confabmax
В 12.55 по МСК👁
Трек 2 ☄️
В 12.55 по МСК
Трек 2 ☄️
Please open Telegram to view this post
VIEW IN TELEGRAM
team.vk.company
VK Security Confab Max
Всем привет !
Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.
Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.
Вот что я подметил для себя:
1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:
1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.
2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.
3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).
2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.
3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются:
1) Sop и CORS.
2) Виды Грантов Oauth 2.0
3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям.
4) Браузерные хранилища и их разница.
5) Атрибуты безопасности Cookie (в особенности SameSite)
6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд.
7) CSP, митигация Dom XSS
Скоро новый пост 🥷
Сегодня хочется поделится чуть-чуть своим опытом проведения технических собеседований в рамках Application Security.
Соответсвенно поделим пост на две части. Сначала расскажу про опыт ведения собеседований, а в следующем посте расскажу, каково быть кандидатом в рамках такого рода интервью.
Вот что я подметил для себя:
1. AppSec крайне непонятный объект, который все компании и соответсвенно кандидаты на интервью видят по разному. Но условно можно поделить на три вида:
1) Когда безопасим только через сканирование кода (SAST, DAST) и тд.
2) Когда можем поаудировать веб, выстроить Арх ревью и поддерживать SSLDC.
3) тоже самое что второй вариант + еще есть компетенции для аудита докера и k8s (extra hard level).
2. По моим ощущениям, требования в больших компаниях от джуна такие же как пару лет назад от крепкого мидла. В этом плане, действительно ребятам, которые начали погружаться относительно не давно предстоят пройти не простой путь для реализации себя, однако все не так плохо, так как если кандидат технически подкован в вебчике - его сложно не заметить.
3. Темы которые хромают у кандидатов, зачастую плюс минус одинаковые. Ими являются:
1) Sop и CORS.
2) Виды Грантов Oauth 2.0
3)Некорректное понимание реализации http, которое ведет к «непоняткам» по клиентским уязвимостям.
4) Браузерные хранилища и их разница.
5) Атрибуты безопасности Cookie (в особенности SameSite)
6) Импакт от уязвимости вида File upload. 99 процентов кандидатов говорит от reverse shell и rce, но упускают path traversal, скулю, XSSку, перезапись файлов и тд.
7) CSP, митигация Dom XSS
Скоро новый пост 🥷
Forwarded from VK Security
SSRF: маленькая уязвимость – большие проблемы
На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.
Мы подготовили карточки с ключевыми моментами из его доклада:
🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают
👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt
На недавней конференции VK Security Confab Max Иван Буряков, эксперт отдела аудита безопасности приложений VK, выступил с докладом на тему, почему SSRF — это не просто «небольшая уязвимость», а реальная головная боль для разработчиков и безопасников.
Мы подготовили карточки с ключевыми моментами из его доклада:
🔹Где можно неожиданно встретить SSRF
🔹Какие атаки возможны и к чему они приводят
🔹Какие меры защиты действительно работают
👉 Листайте, а полное видео с разбором смотрите тут: https://vk.cc/cJDLUt