Jump to content
Domnul.Do

[Sfaturi] Raport de Vulnerabilitate

Recommended Posts

Am vrut sa fac un share la cateva sfaturi care le-am invatat pe parcus , pentru intocmirea unui raport de vulnerabilitate.

Ma adreses doar persoanelor care vor sau au facut aceasta actiune.

Sa luam un exemplu :

Adresa : shop.domain.biz

Vulnerabilitate: XSS in "index.php?search="

Metoda de raport: email

Nu folosesc un standard,dar in general incerc sa il fac cat mai simplu:

Subiectul:

[Cross-Site-Scripting] shop.domain.biz

Nota: Subiectul este unul simplu,nu trebuie incarcat cu informatii inutile.

Raportul:

Description

================

This sub domain is vulnerable to an client side security issue named Cross-Site-Scripting , because the value of the untrusted input is render back to the user.

This can cause :

-authentication/cookie thief

-phishing

-malicious application installation in the name of shop.domain.biz

The P.o.C / Exploit

=================

www.shop.domain.biz/index.php?search=<script>document.write(document.cookie)</script>

In this demonstration I used a XSS vector that will echo the cookie in the main page in which the vector is executed thru the "search" parameter.

This client side security issue was tested in a controlled environment with the following configuration:

OS: Windows Xp , SP2

Browser: Mozilla Firefox 19.0.2

Remediation

=================

My remediation for this kind of problem is: to parameterize the untrusted input so it is not confused as its own javascript code and executes.

Additional Information

=================

About Cross-Site-Scripting: en.wikipedia.org/wiki/Cross-site_scripting .

Nota:

1) Daca doriti sa scrieti ceva despre dumneavoastra,puteti sa scrieti in semnatura ,in genul:

Kind Regards,

Nume Fictiv , Romania

Daca ati trimis la un site care are HoF (Hall of Fame) o sa vina un reply cu:

-Daca doriti ca numele dumneavoastra sa apara in HoF-ul lor

-Numele dumneavoastra

-Numele companiei in cadrul caruia lucrati

-Adresa web a companiei respective

2) Daca folositi un email care are alt nume decat al vostru , o probabilitate este sa il folosesca numele extras din email la reply .

(Da,s-a intamplat acest lucru ).

3) Daca doriti sa valideze mult mai repede raportul , incercati sa gasiti departamentul in clauza , cat si un email al unui Chief si il puneti in "BCC"

4) Sa nu asteptati sa primiti un reply in scurt timp,dar la "firmele" mari in jur de o saptamana (in functie de vulnerabilitate si in ce domeniu este) pana cand il valideaza si il redirectioneaza catre departamentul in clauza.

5) Exploitul/bug-ul trebuie testat/executat intr-un mediu controlat de dumneavoastra care nu are tangenta cu alti utilizatori sau sa malformeze buna desfasure a site-ului pe o periodata foarte lunga .

Daca nu aveti un email la care sa trimiti un raport,puteti sa folositi si "Contact form"-ul lor ,dar:

-Cand introduceti vectorul in raport pentru demonstratie,s-ar putea sa il filtreze/scoata din email (ex: Vodafone,cand am primit un reply , vectorul din raport era filtrat/scos)

-O probabilitate mica este scoaterea aliniatelor (caz real la eBay) si distruge aspectul comercial.

-Puteti primi un email de confirmare pentru instiintarea ca a fost primit sau trimis la un departament

Alte aspecte:

Dupa cum a-ti observat raportul este scris in engleza deoarece sunt mai multe sanse sa prezinta cineva interes si sa inteleaga problema din exteriorul Romaniei .

Dupa cum a reamintit Andrei Avadanei , nu toti au aceasi idee cand primesc un asemenea raport, servicile cu care am colaborat erau "HoF"-uri sau programe gen "Bug Bounty" . La restu nu am primit nici un fel de multumire dar nici nu am asteptat la asa ceva,dar posibil sunt "firme" care vad un atac prin acest email .

Daca credeti ca instiintarea dumneavoastra poate sa aiba efecte negative , sunt si alte metode.

Daca aveti alte informati ,precum: intrebari/intamplari/opini/alte rapoarte, la care puteti sa da-ti un "share" pentru comunitate , aveti ocazia prin acest thread.

Update #1:

-In cazul in care colaborati cu firme care are programul de Bug Bounty activ ,din strainatate (gen Google) si va cere formularul W-8BEN , pentru a va tranfera bani, se va completa astfel:

La Part I :

La punctul 1 se va completa numele intreg al dumneavoastra

La punctul 3 se bifeaza "Individual"

La punctul 4 se completeaza adresa dumneavoastra (eu l-am completat cu standart englez , cu street la sfarsit)

La Part II :

La punctul 9 se bifeaza sub-punctul (a) si se completeaza,tot acolo cu "Romania"

In josul pagini se semneaza si la "Date" se completeaza data in format LL-ZZ-AAAA

La restul punctelor am lasat liber

Optional: Printati formularul , il completati citabil , il scanati si il trimiteti.

Update #2:

-In cazul "Bug Bounty"-ul de la PayPal , contul poate sa aiba si statusul de "Unverified"

ATENTIE!

Este important sa stiti ca transferul de bani se face in email-ul prin care ati trimis raportul , deoarece nu iti vor cere email-ul in care doriti sa va transfera bani.

Update #3:

-Daca gasiti ceva in att.com , raportul dumneavoastra nu este luat in considerare daca nu sunteti inregistrati in programul "AT&T Developer API Program" , care costa 99$

Am avut tangenta ,dar nimic confirmat nici un fel de feedback. Recent am aflat ca trebuie sa fiu inscris in programul respectiv ca sa imi valideze rapoartele

Va multumesc pentru atentia acordata!

Edited by hate.me
Update#3
  • Upvote 2
Link to comment
Share on other sites

0Day HINT: Daca n-are bug bounty pune-i un java applet, sau vreun exploit in xss-ul ala + website clone + mail.

Filmezi si demonstrezi toate astea infectand o masina virtuala. Atunci sigur or sa te ia in serios mai mult decat daca din pagina le tasneste un /XSS/.

In cazul in care ai gasit SQLi sau echivalentul, te adresezi direct cu Good evening, admin:e369f3e21b31bbd96a6532a289ac72e2,

Link to comment
Share on other sites

0Day HINT: Daca n-are bug bounty pune-i un java applet, sau vreun exploit in xss-ul ala + website clone + mail.

Filmezi si demonstrezi toate astea infectand o masina virtuala. Atunci sigur or sa te ia in serios mai mult decat daca din pagina le tasneste un /XSS/.

In cazul in care ai gasit SQLi sau echivalentul, te adresezi direct cu Good evening, admin:e369f3e21b31bbd96a6532a289ac72e2,

Da intr-adevar ,ar avea un impact mult mai mare ,conceput cu java applet intr-un V.P.O.C (Video Proof Of Concept) daca nu are "BB" .

Cat despre SQLi nu stiu ce sa zic,una ii cand le arati doar unde exista vulnerabilitatea si alta ii cand te foloseste de vulnerabilitate ca sa scoti admin-ul ,aici poate sa iti zica de acces neautorizat sau abuz de serviciu,depinde de adresa.

Link to comment
Share on other sites

Eu am trimis un sqli prin email la o companie uriasa, din domeniul IT, au pana si in Romania reprezentanta, (date personale 100 mii clienti), trimis gen "you have a vulnerability...tralalalalala", trimis link vulnerabilitate, trimis admin user, trimis hash + decriptata plain, cum sa repare, conditia in care am gasit-o , si "Good Luck"

Dupa 4 zile au reparat vulnerabilitatea. Dezamagirea mea a fost ca nu au trimis un multumesc.

De atunci am o semnatura mai personala :))

La urma pun " Ps: You welcome!"

:))

Link to comment
Share on other sites

Eu am trimis un sqli prin email la o companie uriasa, din domeniul IT, au pana si in Romania reprezentanta, (date personale 100 mii clienti), trimis gen "you have a vulnerability...tralalalalala", trimis link vulnerabilitate, trimis admin user, trimis hash + decriptata plain, cum sa repare, conditia in care am gasit-o , si "Good Luck"

Dupa 4 zile au reparat vulnerabilitatea. Dezamagirea mea a fost ca nu au trimis un multumesc.

De atunci am o semnatura mai personala :))

La urma pun " Ps: You welcome!"

:))

Prin asemenea situatie am trecut si eu , nu am primit nici un fel de feedback nici nu am stiut cand a fost remediata problema.

Ai primit ceva inapoi de la ei? Ma referer la actiunea lor pentru remerdiere sau cum a fost primit raportul cand ai prezentant/exploit-at SQLi respectiv?

Dupa continutul ce ai prezentat aici,cred ca este vorba de Cisco sau Oracle ?!

Link to comment
Share on other sites

Chestia e ca ei aveau eroare fara sa o caut, in prezentarea unui produs, eu intamplator cautam un driver pentru un produs de-al lor si normal ca mi-a sarit in ochi din prima. Nu am manipulat link-ul in nici un fel, deci erau "sitting ducks" :))

Am folosit asta si in 15 secunde mi-a gasit si parola. Chiar daca is vai de capul meu, adica nu stiu eu prea multe, dar sunt un fel de "gray", si le-am trimis ce am gasit fara a extrage altceva din baza lor de date. Am verificat link-ul (cu tor) si am vazut ca dupa 4 zile au reparat vulnerabilitatea. Nici un raspuns, au trecut 3 saptamani. :)

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...