...od razu afera: Brute-forcing ksiąg wieczystych. Problem w tym, że Księgi Wieczyste są jawne i każdy może je przeglądać. Ja wiem, że to jest szok, gdy nagle znajdzie się swoje dane i to w dodatku dość dokładne, ale te dane były już powszechnie dostępne wcześniej. Różnica tylko taka, że trzeba się było pofatygować do sądu. Tu zwracam uwagę na różnicę między przeglądaniem a wykonaniem odpisu Księgi Wieczystej, bo w tym drugim przypadku procedury rzeczywiście wyglądają nieco inaczej, ale to temat poboczny. Obecnie przeglądać KW można sobie wygodnie, przez Internet, więc w zasadzie prawie nie ma różnicy. A teraz trzeba przyglądnąć się nieco bliżej jaką różnicę robi owo prawie.
Internet jest ZŁY! Wystarczy przeczytać dowolną “popularną” gazetę i już o tym wiemy na 1000 różnych sposobów. To musi być prawda, dziś w skrzynce znalazłem to...
Jednym z wynalazców takiego rozwiązania jest Clemence Schlieweis, 29-letni inżynier z Monachium. Z pierwszych transmisji z RPA wysamplował dźwięk wuwuzeli i stworzył jego “odwrotność”. Okazuje się, że po ściągnięciu z internetu 45-minutowego pliku dźwiękowego formatu mp3, wystarczy odtworzyć go w komputerze stojącym niedaleko telewizora i wuwuzeli nie słychać!
Moje problemy z JBroFuzz jak występowały, tak występują, nawet mimo tego, że na liście zmian w nowej wersji teoretycznie znalazła się informacja o ich usunięciu:
Release Notes (2.2):
(...)
* Fixed “Payload in the wrong location” (sourceforge ID: 2997848)
(...)
Poza tym i tak “standardowe” fuzzery nie sprawdzają się, gdy kolejne żądanie musi zostać nieco zmodyfikowane w stosunku do żądania “wzorcowego”, na przykład po to, by wstawić aktualny token.
Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic , być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych tematów.
Druga sprawa – zdaję sobie sprawę, że na prezentacji wiele tematów poruszyłem bardzo pobieżnie, nie wdając się w szczegóły. Nie pokazałem wszystkich informacji, które można było uzyskać z tego zrzutu ruchu sieciowego, nie do końca również wdawałem się w szczegóły techniczne dotyczące tego, jak niektóre informacje były uzyskane. Być może kilka wyjaśnień znajdzie się w kolejnych wpisach na blogu. Jeśli ktoś z Was ma jakieś pytania, czekam. Ja już widzę kilka tematów, które będę chciał rozwinąć.
I jeszcze jedna sprawa. Gratuluję Kamilowi Reszczykowi rozwiązania mini-konkursu. Niech koszulka dobrze się nosi :) Jednocześnie przepraszam tych z Was, których maile z rozwiązaniem nie dotarły. Proszę o przesłanie ich jeszcze raz, tym razem na pawel.golen na gmail. Rozwiązania opublikuję, może uda się również jakąś drugą turę w sensie gadżetów przeprowadzić. A ja spróbuję ustalić, dlaczego Wasze maile do mnie nie dotarły.
W dniu 10 czerwca w Krakowie odbędzie się ostatnie przed wakacjami spotkanie OWASP. Tym razem dwie prezentacje o tematyce będącej w pewnym stopniu kontynuacją poprzedniego spotkania, oraz oczywiście tradycyjne wieści z OWASP przekazywane przez Przemka Skowrona.
Do myślenia dał mi ostatnio ten post: Banking Malware uses PAC file. W tym przykładzie malware wprost ustawia adres skryptu PAC, z którego korzysta przeglądarka do określania przez jakie proxy powinna przesłać żądanie. Malware musi jednak jakoś ten klucz ustawić, czyli musi wejść na komputer. A co, jeśli wchodzić by nie musiał?
Najbardziej oryginalną (i niestety – jedyną) odpowiedź odnośnie pytania o ukryty sens dobrych praktyk udzielił Kravietz:
Dobre praktyki mają kapitalne znaczenie dla pentesterów, gdyż pozwalają rozdymać raporty nawet gdy nie udaje się znaleźć nic poważniejszego (...)
Wymienione przeze mnie punkty z ASVS mają jednak również praktyczne znaczenie, niestosowanie ich ma realny wpływ na ryzyko, przynajmniej w niektórych scenariuszach. Jakich?
Jak zwykle mój kolejny bootcamp bardzo szybko prawie rozwiązał Krzysztof Kotowicz. Podpowiem, że sedno tego przykładu leży w parametrze token , a problemy, które należy zauważyć, są dwa. Pierwszy problem, ten znaleziony, to replay. Możliwe jest wielokrotne wykorzystanie tej samej wartości tokenu. Pytanie – w jakim przypadku? Czy to mówi coś na temat tego, kiedy generowany jest token? Pytanie zasadnicze: czy można wysłać żądanie bez prawidłowej wartości tokenu? Hint: CWE-665: Improper Initialization.
UWAGA: pamiętajcie, że to jest przykład , nie doszukujcie się więc wielkiego sensu czy rzeczywistego ryzyka związanego z tą konkretną podatnością. Ten sam typ błędu w innym kontekście skutki powodować może już całkiem poważne.