Domnul.Do Posted March 26, 2013 Report Posted March 26, 2013 (edited) Am vrut sa fac un share la cateva sfaturi care le-am invatat pe parcus , pentru intocmirea unui raport de vulnerabilitate.Ma adreses doar persoanelor care vor sau au facut aceasta actiune.Sa luam un exemplu : Adresa : shop.domain.biz Vulnerabilitate: XSS in "index.php?search="Metoda de raport: email Nu folosesc un standard,dar in general incerc sa il fac cat mai simplu:Subiectul:[Cross-Site-Scripting] shop.domain.bizNota: Subiectul este unul simplu,nu trebuie incarcat cu informatii inutile. Raportul:Description================This sub domain is vulnerable to an client side security issue named Cross-Site-Scripting , because the value of the untrusted input is render back to the user.This can cause : -authentication/cookie thief -phishing-malicious application installation in the name of shop.domain.bizThe P.o.C / Exploit=================www.shop.domain.biz/index.php?search=<script>document.write(document.cookie)</script>In this demonstration I used a XSS vector that will echo the cookie in the main page in which the vector is executed thru the "search" parameter. This client side security issue was tested in a controlled environment with the following configuration:OS: Windows Xp , SP2Browser: Mozilla Firefox 19.0.2 Remediation=================My remediation for this kind of problem is: to parameterize the untrusted input so it is not confused as its own javascript code and executes.Additional Information=================About Cross-Site-Scripting: en.wikipedia.org/wiki/Cross-site_scripting . Nota: 1) Daca doriti sa scrieti ceva despre dumneavoastra,puteti sa scrieti in semnatura ,in genul: Kind Regards, Nume Fictiv , RomaniaDaca ati trimis la un site care are HoF (Hall of Fame) o sa vina un reply cu:-Daca doriti ca numele dumneavoastra sa apara in HoF-ul lor-Numele dumneavoastra-Numele companiei in cadrul caruia lucrati-Adresa web a companiei respective2) Daca folositi un email care are alt nume decat al vostru , o probabilitate este sa il folosesca numele extras din email la reply . (Da,s-a intamplat acest lucru ).3) Daca doriti sa valideze mult mai repede raportul , incercati sa gasiti departamentul in clauza , cat si un email al unui Chief si il puneti in "BCC" 4) Sa nu asteptati sa primiti un reply in scurt timp,dar la "firmele" mari in jur de o saptamana (in functie de vulnerabilitate si in ce domeniu este) pana cand il valideaza si il redirectioneaza catre departamentul in clauza.5) Exploitul/bug-ul trebuie testat/executat intr-un mediu controlat de dumneavoastra care nu are tangenta cu alti utilizatori sau sa malformeze buna desfasure a site-ului pe o periodata foarte lunga .Daca nu aveti un email la care sa trimiti un raport,puteti sa folositi si "Contact form"-ul lor ,dar:-Cand introduceti vectorul in raport pentru demonstratie,s-ar putea sa il filtreze/scoata din email (ex: Vodafone,cand am primit un reply , vectorul din raport era filtrat/scos)-O probabilitate mica este scoaterea aliniatelor (caz real la eBay) si distruge aspectul comercial.-Puteti primi un email de confirmare pentru instiintarea ca a fost primit sau trimis la un departamentAlte aspecte:Dupa cum a-ti observat raportul este scris in engleza deoarece sunt mai multe sanse sa prezinta cineva interes si sa inteleaga problema din exteriorul Romaniei .Dupa cum a reamintit Andrei Avadanei , nu toti au aceasi idee cand primesc un asemenea raport, servicile cu care am colaborat erau "HoF"-uri sau programe gen "Bug Bounty" . La restu nu am primit nici un fel de multumire dar nici nu am asteptat la asa ceva,dar posibil sunt "firme" care vad un atac prin acest email .Daca credeti ca instiintarea dumneavoastra poate sa aiba efecte negative , sunt si alte metode.Daca aveti alte informati ,precum: intrebari/intamplari/opini/alte rapoarte, la care puteti sa da-ti un "share" pentru comunitate , aveti ocazia prin acest thread.Update #1:-In cazul in care colaborati cu firme care are programul de Bug Bounty activ ,din strainatate (gen Google) si va cere formularul W-8BEN , pentru a va tranfera bani, se va completa astfel:La Part I :La punctul 1 se va completa numele intreg al dumneavoastraLa punctul 3 se bifeaza "Individual" La punctul 4 se completeaza adresa dumneavoastra (eu l-am completat cu standart englez , cu street la sfarsit)La Part II :La punctul 9 se bifeaza sub-punctul (a) si se completeaza,tot acolo cu "Romania"In josul pagini se semneaza si la "Date" se completeaza data in format LL-ZZ-AAAALa restul punctelor am lasat liberOptional: Printati formularul , il completati citabil , il scanati si il trimiteti.Update #2:-In cazul "Bug Bounty"-ul de la PayPal , contul poate sa aiba si statusul de "Unverified"ATENTIE!Este important sa stiti ca transferul de bani se face in email-ul prin care ati trimis raportul , deoarece nu iti vor cere email-ul in care doriti sa va transfera bani.Update #3:-Daca gasiti ceva in att.com , raportul dumneavoastra nu este luat in considerare daca nu sunteti inregistrati in programul "AT&T Developer API Program" , care costa 99$Am avut tangenta ,dar nimic confirmat nici un fel de feedback. Recent am aflat ca trebuie sa fiu inscris in programul respectiv ca sa imi valideze rapoarteleVa multumesc pentru atentia acordata! Edited August 23, 2013 by hate.me Update#3 2 Quote
Wubi Posted March 26, 2013 Report Posted March 26, 2013 0Day HINT: Daca n-are bug bounty pune-i un java applet, sau vreun exploit in xss-ul ala + website clone + mail.Filmezi si demonstrezi toate astea infectand o masina virtuala. Atunci sigur or sa te ia in serios mai mult decat daca din pagina le tasneste un /XSS/.In cazul in care ai gasit SQLi sau echivalentul, te adresezi direct cu Good evening, admin:e369f3e21b31bbd96a6532a289ac72e2, Quote
Domnul.Do Posted March 26, 2013 Author Report Posted March 26, 2013 0Day HINT: Daca n-are bug bounty pune-i un java applet, sau vreun exploit in xss-ul ala + website clone + mail.Filmezi si demonstrezi toate astea infectand o masina virtuala. Atunci sigur or sa te ia in serios mai mult decat daca din pagina le tasneste un /XSS/.In cazul in care ai gasit SQLi sau echivalentul, te adresezi direct cu Good evening, admin:e369f3e21b31bbd96a6532a289ac72e2,Da intr-adevar ,ar avea un impact mult mai mare ,conceput cu java applet intr-un V.P.O.C (Video Proof Of Concept) daca nu are "BB" .Cat despre SQLi nu stiu ce sa zic,una ii cand le arati doar unde exista vulnerabilitatea si alta ii cand te foloseste de vulnerabilitate ca sa scoti admin-ul ,aici poate sa iti zica de acces neautorizat sau abuz de serviciu,depinde de adresa. Quote
Andrei Posted March 27, 2013 Report Posted March 27, 2013 Putin retusat postul asta merge de pus pe blogul RST. Quote
yo20063 Posted March 28, 2013 Report Posted March 28, 2013 Eu am trimis un sqli prin email la o companie uriasa, din domeniul IT, au pana si in Romania reprezentanta, (date personale 100 mii clienti), trimis gen "you have a vulnerability...tralalalalala", trimis link vulnerabilitate, trimis admin user, trimis hash + decriptata plain, cum sa repare, conditia in care am gasit-o , si "Good Luck"Dupa 4 zile au reparat vulnerabilitatea. Dezamagirea mea a fost ca nu au trimis un multumesc.De atunci am o semnatura mai personala La urma pun " Ps: You welcome!" Quote
Domnul.Do Posted March 28, 2013 Author Report Posted March 28, 2013 Eu am trimis un sqli prin email la o companie uriasa, din domeniul IT, au pana si in Romania reprezentanta, (date personale 100 mii clienti), trimis gen "you have a vulnerability...tralalalalala", trimis link vulnerabilitate, trimis admin user, trimis hash + decriptata plain, cum sa repare, conditia in care am gasit-o , si "Good Luck"Dupa 4 zile au reparat vulnerabilitatea. Dezamagirea mea a fost ca nu au trimis un multumesc.De atunci am o semnatura mai personala La urma pun " Ps: You welcome!" Prin asemenea situatie am trecut si eu , nu am primit nici un fel de feedback nici nu am stiut cand a fost remediata problema.Ai primit ceva inapoi de la ei? Ma referer la actiunea lor pentru remerdiere sau cum a fost primit raportul cand ai prezentant/exploit-at SQLi respectiv?Dupa continutul ce ai prezentat aici,cred ca este vorba de Cisco sau Oracle ?! Quote
yo20063 Posted March 28, 2013 Report Posted March 28, 2013 Chestia e ca ei aveau eroare fara sa o caut, in prezentarea unui produs, eu intamplator cautam un driver pentru un produs de-al lor si normal ca mi-a sarit in ochi din prima. Nu am manipulat link-ul in nici un fel, deci erau "sitting ducks" Am folosit asta si in 15 secunde mi-a gasit si parola. Chiar daca is vai de capul meu, adica nu stiu eu prea multe, dar sunt un fel de "gray", si le-am trimis ce am gasit fara a extrage altceva din baza lor de date. Am verificat link-ul (cu tor) si am vazut ca dupa 4 zile au reparat vulnerabilitatea. Nici un raspuns, au trecut 3 saptamani. Quote
Wubi Posted March 28, 2013 Report Posted March 28, 2013 data viitoare faci dump la baza de date, pentru a-ti hrani orgoliul de whitesange da-le si un mail si vinde baza de date daca e asa uriasa pe cum zici. Quote