Уязвимости в бизнес-логике, которые не распознает ни один сканер (интернет-сервисы)

Ранее мы уже рассказывали об уязвимостях в бизнес-логике приложений в сфере финтеха, ecom-а и ритейла. На этот раз мы собрали несколько забавных примеров логических уязвимостей в интернет-сервисах.

Такси

Приложения для такси бывают уязвимы для спекуляции с геолокацией. Водители меняют ее, чтобы получить более выгодные заказы. Например, он едет в Домодедово, но еще далеко от него. Приложение не показывает заказы из аэропорта. Поменяв локацию, водитель получает более выгодные заказы заранее.

Иногда приложение может быть уязвимо для получения информации о клиенте. Были случаи, когда водители находили номер клиента, звонили и предлагали отменить поездку — отвезти за наличные деньги и меньшую сумму.

Это может быть связано с тем, что клиентская база и биржа распределения заказов у сервиса глобальна, а логика предоставления данных о заказчике водителю — реализована на клиенте. Например, от бэкенда приходит JSON с полной информацией о пользователе, а приложение демонстрирует лишь определенную часть. Прослушивая трафик, можно получить расширенную информацию о пользователе.

Существуют прецеденты, наоборот, связанные с манипуляцией клиентов. Клиент не должен знать ничего, кроме номера машины и имени водителя, тем не менее, путем того же перехвата трафика и подмены данных, можно получить информацию о водителе на текущем заказе. В одном из проектов после нажатия кнопки «поиск» была возможность назначить сумму поездки самому. Это мелочь, но она позволяет избегать накруток сервисов в горячих зонах.

Подмена локации

Игра Pokеmon GO — еще один забавный пример. Охотники за эксклюзивными покемонами брали эмулятор андроида на компьютере, меняли локацию на Иран, где водились редкие покемоны и ловили их там :)

Или акция сотового оператора, который давал бонусы за шаги в своем приложении: чтобы заработать их, энтузиасты меняли локацию, строили плавную кривую, будто человек плавно перемещается, и сидя дома, участвовали в акции. Конечно, этим может воспользоваться далеко не каждый пользователь, и скорее всего, акция принесла гораздо больше прибыли компании, чем понесла потерь от находчивых пользователей.

Часто при тестировании API встречается уязвимость класса Broken Access Control. Она может быть связана с недостаточным контролем доступа к тому или иному интерфейсу API. Например, в одном из приложений был найден эндпоинт /api/v1/admin/notifications, который отдавал информацию обо всех событиях, в том числе о смене пароля. В событиях о смене пароля фигурировала ссылка на сброс. Таким образом, можно запросить смену пароля для администратора, обратиться к интерфейсу /api/v1/admin/notifications, получить ссылку на сброс пароля, установить новый пароль и войти в систему как администратор.

С чего можно начать путь DevSecOps?

Есть интересный ресурс DevSecOps University. Там собрано много материалов в одном месте: статьи, книги, видеоуроки, инфографика, инструменты. Есть даже лабораторные работы ☝🏻

Ребята покрывают следующие темы:

- Системы управления версиями (git).
- CI/CD и все что связано с ним. Можно потренироваться на лабораторных работах.
- Управление артефактами сборки.
- IAC: инфраструктура как код. Ansible, Vagrant и другие умные слова))
- Облачные решения и их безопасность, в основном рассматривают AWS
- Модель угроз: расскажут, как правильно реализовать модель угроз под свой проект.
- Статическое тестирование безопасности (SAST): что такое, как внедрить, какие инструменты существуют.
- Динамическое тестирование безопасности (DAST): темы аналогичные SAST.
- И другие интересные темы, вроде: Security as Code, Compliance as Code.

Делитесь своими ресурсами на тему DevSecOps в комментариях)

Разрываем k8s

Вы наверняка уже встречались с Kubernetes. Уверен, кто-то из вас активно использует их у себя в компании и заботится о том, чтобы злоумышленник, попав в контейнер, не устроил побег.

Для того чтобы проаудировать k8s можно воспользоваться различными чек-листами, документами вроде CIS Benchmarks. Но куда быстрее и нагляднее воспользоваться автоматизированными инструментами.

Есть на github интересный репозиторий, в котором собраны документы, утилиты, подкасты, презентации и все-все, что связано с безопасностью k8s. Бери и пользуйся, например, kube-bench в автоматическом режиме проверяет соответствие по CIS Benchmarks, а peirates проверяет известные недостатки конфигурации и уязвимости.

Есть ли у вас любимые инструменты для анализа безопасности кубов?

#soft #k8s

Для чего нужна база знаний MITRE ATT&CK

База MITRE ATT&CK представляется в виде матриц, в которых столбцы — это основные этапы кибератаки, а ячейки — способы и техники их реализации. Например, этап - «Рекогносцировка», а «Активное сканирование» — техника.

MITRE ATT&CK достаточно полно отображает поведение злоумышленников и становится полезной, например, для реагирования на киберинциденты и применения защитных мер. Кроме того, для каждой техники представлено детальное описание, защитные меры и способы обнаружения.

Существует несколько матриц, и каждая из них покрывает разные системы, например:

— Матрица Enterprise: состоит из техник, которые применяются в ходе атак на организацию. В частности, содержатся тактики и техники кибератак на определенные операционные системы.
— Матрица Mobile: содержит тактики и техники, которые применяются к мобильным устройствам.
— Матрица PRE-ATT&CK: содержит тактики и техники, которые злоумышленники используют, до эксплуатации уязвимостей и проникновения, другими словами, на этапе подготовки к кибератаке.
— ATT&CK for ICS: из названия становится ясно, что в ней содержатся тактики и техники, которые используются в кибератаках на промышленные системы.

Имея перед собой эти инструменты, специалисты по информационной безопасности могут:

— Проанализировать текущие защитные меры и оценить угрозы, узнать какие техники могут быть реализованы в системах и принять соответствующие меры .
— Правильно реагировать на возникающие инциденты. Достаточно найти в матрице соответствующую технику и определить на каком из этапов находится кибератака, а дальше использовать предложенные меры.
— Изучать модель поведения APT-группировок. Это позволяет расширить текущие знания и быть готовым к возможным атакам.

Выдаем все свои профессиональные секреты в подкасте — SoftWare development podcast.
Александр Герасимов, CISO Awillix, и Сергей Овчинников, cloud security architect — гости нового выпуска.

Поговорили о том, что такое Application Security (AppSec), как обеспечивается безопасность на всех этапах жизненного цикла разработки ПО и какие методы можно применить. Обсудили взаимодействие бизнеса, разработки, специалистов по информационной безопасности и devops инженеров.

Говорили о подходах, приемах и инструментах для разработки безопасных приложений, таких как шаблоны приложений, инструменты анализа кода, подходы к созданию контейнеров и базовых образов. Отдельно поговорили про фаззинг приложений: что это такое, как он устроен и как его применять.

Слушайте по ссылке — https://sdcast.ksdaemon.ru/2022/02/sdcast-141/

А так же:
https://twitter.com/SDCast_podcast/status/1490637799111933956
https://twitter.com/KSDaemon/status/1490638980001447938
https://vk.com/feed?w=wall-194574132_55
https://www.patreon.com/posts/62231555
https://www.facebook.com/SDCastPodcast/posts/478973357133540

Как за несколько секунд просканировать внешний периметр на наличие открытых портов и уязвимостей?

Недавно коллега рассказал о новом инструменте Nrich, который позволяет очень быстро проанализировать список IP-адресов на наличие общеизвестных уязвимостей (баннерный поиск) и открытых сервисов.

Конечно же инструмент представляет из себя пассивный сканер, который использует API Shodan.

Nrich проверил пулл адресов из маски /24 за 5 секунд:

➜ ~ wc -l scope.txt
255 scope.txt

time nrich scope.txt > /dev/null
nrich scope.txt > /dev/null 0.07s user 0.04s system 2% cpu 4.913 total

Рассказали журналу IT-World о том, как не стать жертвами атаки через цепочку поставок. Статья по ссылке👇

​​Киберугрозы новой реальности: Supply chain attack.

Успешная атака на цепочку поставок может привести не только к большим финансовым и репутационным потерям или компрометации ИT-инфраструктуры, но и к остановке производства или опасности экологической катастрофы.

https://www.it-world.ru/cionews/security/182552.html

Соскучились по встречам в оффлайне? Приходите на наш третий, уже традиционный ламповый митап :)

25 марта в 18:00 поговорим на тему: «Workflow разработки при внедрении инструментов и техник безопасности. Принципы использования SCA- и SAST-анализаторов».

Собираемся обсудить:
— Трансформирование workflow разработки с учетом требований безопасности на каждом этапе;
— Software component analysis и как обойти сложности во внедрении CI/CD пайплайнов;
— Лучшие практики внедрения SCA- и SAST-анализаторов, которые помогут быстро получить по-настоящему качественное и безопасное ПО

А после — нетворкинг, обсуждения и кофе-брейк. Будем рады всем, кому интересна эта тема и полезные знакомства!

Москва, Духовской переулок 17 стр. 10.
Количество мест ограничено. Регистрация обязательна — https://awillix--eksperty-po-kibe.timepad.ru/event/1956607/

Каждое обновление операционных систем несет в себе новые «дыры» в системе безопасности, а количество атак из-за этого растет каждый день.

Android прошел тернистый путь улучшений системы безопасности от простого PIN экрана до конкурентоспособной многоуровневой защиты. Но даже его механизмы можно обойти.

Анастасия Худоярова, специалист по безопасной разработке в Awillix, дала советы разработчикам и атакующим, рассказала об эволюции системы безопасности Android и актуальных способах защиты системы.

Читайте по ссылке — https://habr.com/ru/post/655745/

Semgrep умный grep или швейцарский нож?

Хотите одним инструментом проанализировать свой код на наличие типичных уязвимостей, проверить качество кода, выявить секреты в коде или ошибки в IaC и Dockerfile? Для решения таких задач можно воспользоваться инструментом Semgrep.

Semgrep — статический анализатор, который для поиска использует правила, написанные в yaml формате. У semgrep есть свой репозиторий с правилами, где можно подобрать нужный для вас стек и проверки: https://semgrep.dev/r / https://github.com/returntocorp/semgrep-rules

Semgrep поддерживает следующие языки:

- C#
- Go
- Java
- JavaScript
- JSON
- JSX
- Python
- Ruby
- TypeScript
- TSX
- YAML
- Generic (ERB, Jinja, и тд.)

И многие другие в Beta или Experimental режиме, например, C++, Rust, PHP.

Интересно то, что можно свободно писать собственные правила с указанием уровня критичности, описания, рекомендаций, CWE, ссылок на источники. Еще semgrep очень просто встраивается в процесс CI/CD.

Все это может быть полезно, если у вас есть процесс сборки и вы используете некий сервис для агрегации всех уязвимостей в рамках процесса управления уязвимостями, например, DefectDojo. Тогда в несколько шагов можно получить отличный инструмент для статического анализа кода, который в автоматическом режиме будет выявлять ошибки, уязвимости, недостатки в качестве кода.

Как взломать сайт веб-студии и получить за это работу? Где учатся на хакеров? Может ли гуманитарий стать специалистом по кибербезопасности?

Дал интервью каналу Loftblog рассказал о своем карьерном пути, поиске клиентов, российских хакерах, зарплатах безопасников и возможностях для стажировки.

Подробно о профессии пентестера из первых уст по ссылке —
https://www.youtube.com/watch?v=V0FsX1M_SGg&list=LLjc5iKfl2NJBPsoPLa4xXBg

Запись нашего третьего митапа, посвященного workflow разработки при внедрении инструментов и техник безопасности

Все, кто не смог посетить нас оффлайн, подключайтесь к записи трансляции на Ютубе — https://www.youtube.com/watch?v=QfYEkh9hxLQ
⠀
Обязательно сделаем вторую часть митапа и копнем эти темы еще глубже, следите за анонсами, пишите вопросы для разбора.
⠀
#meetup

Когда защитил только внешнюю инфраструктуру, но забил на внутрянку.

Nginx 1.18 0-Day

Будьте внимательнее к своим веб-серверам. Хакерская группировка APT49 опубликовала информацию о том, что готовят эксплоит для Nginx 1.18.

Если вы используете Nginx и модуль LDAP, обязательно ознакомьтесь с материалами ниже.

References:

- https://twitter.com/_Blue_hornet/status/1512759109275242497
- https://github.com/AgainstTheWest/NginxDay

Всем привет!

На последнем митапе про workflow разработки при внедрении инструментов и техник безопасности мы дарили плакаты с майндмэпом процесса DevSecOps, как своего рода резюме сказанного в докладах.

Печатные версии кончились, но остался PDF, который можно распечатать в хорошем качестве. Раздаем его в ЛС.
Отмечайтесь в комментариях — безвозмездно пришлем ;)

Как найти и выбрать бесплатный сканер уязвимостей?

Не так давно нашел репозиторий, в котором собраны свободно распространяемые сканеры веб-приложений, сетевой инфраструктуры, API, CMS: https://github.com/psiinon/open-source-web-scanners

Список известный в кругах, но автор репозитория сагригировал все вместе, указал даты последних обновлений, количество звезд на Github и тд. Это как раз то, на что стоит обратить внимание при выборе опенсорс сканера, конечно помимо технических требований. Если у проекта много контрибьюторов, звезд, частые обновления, то явно проект живой и пользуется популярностью. Мы, например, в проектах используем Nuclei со своими шаблонами, советуем присмотреться к сканеру, кстати он тоже указан в репозитории.

Некоторые из представленных ПО можно легко интегрировать в процесс CI для динамического тестирования.

Кстати, подобные страницы есть и у OWASP:

- Free for Open Source Application Security Tools
- Vulnerability Scanning Tools

Всем привет! Если верить опросу, то больше 20% из вас — студенты. Возможно, вам будет полезно посмотреть наш вчерашний тренинг для НИЯУ МИФИ.

Рассказал про:

— главные аспекты профессии пентестера;
— возможности развития в сфере информационной безопасности и варианты картерного трека;
— материалы для развития в этой области.

Ссылка на запись — https://www.youtube.com/watch?v=_QsZfR5EVsc&t=183s

Инциденты с Rutube и ТВ-провайдерами: кто виноват и что делать? — Рассказали свое мнение Хайтеку.
А вы как думаете, дорогие подписчики? :)

https://hightech.fm/2022/05/12/rutube-dead-alive