Olá Habitantes! “Para aprender algo, é preciso aplicar o conhecimento na prática. Foi assim que aprendemos a arte de hackear. ”- Michael Prince e Jobert Abma, co-fundadores do HackerOne. O Bug Trap apresenta o hacking de chapéu branco - a busca por vulnerabilidades de segurança. Não importa se você é um novato em segurança cibernética que deseja tornar a Internet mais segura ou um desenvolvedor experiente que deseja escrever código seguro, Peter Jaworski mostrará como.
O livro cobre tipos comuns de erros e relatórios de hackers da vida real de empresas como Twitter, Facebook, Google, Uber e Starbucks. A partir desses relatórios, você entenderá como funcionam as vulnerabilidades e pode tornar seus próprios aplicativos mais seguros.
Você vai aprender:
- como funciona a internet e aprender os conceitos básicos de hacking na web;
- como os cibercriminosos invadem sites;
- como a falsificação de solicitação força os usuários a enviar informações para outros sites;
- como acessar os dados de outro usuário;
- onde começar a procurar vulnerabilidades;
- como fazer com que os sites divulguem informações usando solicitações falsas.
Para quem é este livro?
O livro foi escrito para hackers novatos. Eles podem ser desenvolvedores web, web designers, pais em
licença maternidade , alunos, aposentados, etc. Claro, experiência em programação e um entendimento geral de tecnologias web serão úteis, mas não serão um pré-requisito para hackear.
Habilidades de programação podem facilitar a localização de vulnerabilidades na lógica de programação. Se você puder se colocar no lugar de um programador ou ler seu código (se disponível), suas chances de sucesso serão maiores.
Sobre o que é esse livro
:
1. . , . : HTTP-, HTTP.
2. Open Redirect. , .
3. HTTP-. HTTP- .
4. . , - HTTP-, .
5. HTML . , HTML- - .
6. . HTTP-, , .
7. . , JavaScript- , .
8. . , . .
9. SQL. , .
10. . , .
11. XML-. , , XML- .
12. . .
13. . , , , .
14. . , .
15. . , , .
16. . , , .
17. OAuth. , , .
18. . , .
19. . , , . .
20. . , , .
. . , , -, , ..
. . (-, , ..
1. . , . : HTTP-, HTTP.
2. Open Redirect. , .
3. HTTP-. HTTP- .
4. . , - HTTP-, .
5. HTML . , HTML- - .
6. . HTTP-, , .
7. . , JavaScript- , .
8. . , . .
9. SQL. , .
10. . , .
11. XML-. , , XML- .
12. . .
13. . , , , .
14. . , .
15. . , , .
16. . , , .
17. OAuth. , , .
18. . , .
19. . , , . .
20. . , , .
. . , , -, , ..
. . (-, , ..
14 Capturando um subdomínio
O sequestro de um subdomínio permite que um invasor distribua seu próprio conteúdo ou intercepte o tráfego no site de outra pessoa.
Nomes de domínio
Domínio é a URL para acessar o site. Ele se liga a um endereço IP usando servidores DNS. Em sua estrutura hierárquica, as partes individuais são separadas por pontos e o elemento final (extrema direita) é chamado de domínio de nível superior. Exemplos de tais domínios são .com, .ca, .info, etc. À esquerda está o nome do domínio. Esta parte da hierarquia é para acessar o site. Por exemplo, <example> .com é um nome de domínio registrado com um domínio de nível superior .com.
Os subdomínios constituem a extremidade esquerda do URL e podem pertencer a diferentes sites no mesmo domínio registrado. Por exemplo, Exemplo construiu um site, mas precisa de um endereço de e-mail separado. Ele pode usar dois subdomínios diferentes com conteúdo diferente: www. <example> .come webmail. <example> .com.
Os proprietários de sites podem usar vários métodos para criar subdomínios, como adicionar um de dois registros à descrição do nome de domínio: A ou CNAME. O registro A vincula um nome de site a um ou mais endereços IP. Um registro CNAME exclusivo vincula os dois domínios. Apenas o administrador do site tem o direito de criar registros DNS.
Como ocorre a captura de subdomínio
Um subdomínio é considerado sequestrado se o usuário controlar o IP e os URLs apontados pelo registro A ou registro CNAME. Exemplo: Após criar um novo aplicativo, o desenvolvedor o hospedou no Heroku e criou um registro CNAME apontando para o subdomínio do site principal Exemplo. Esta situação fica fora de controle se:
- Exemplo registrou uma conta na plataforma Heroku sem usar SSL.
- Heroku Example unicorn457.herokuapp.com.
- Example DNS- CNAME, test.<example>.com unicorn457.herokuapp.com.
- Example test.<example>.com, Heroku . CNAME .
- , CNAME URL- Heroku, unicorn457.heroku.com.
- test.<example>.com, URL- Example.
As consequências de assumir o controle de um subdomínio dependem de sua configuração e das configurações do domínio pai. Por exemplo, em sua apresentação Web Hacking Pro Tips # 8 ( www.youtube.com/watch?v=76TIDwaxtyk ), Arne Swinnen descreve como agrupar cookies para transferir apenas domínios correspondentes. No entanto, se você especificar um único ponto como um subdomínio, por exemplo,. <example> .com, o navegador enviará o cookie <example> .com para qualquer subdomínio de Exemplo que o usuário visitar. Ao controlar o teste de endereço. <example> .com, um hacker pode roubar o cookie <example> .com de uma vítima que visita o teste de subdomínio sequestrado. <example> .com.
Mas mesmo que os cookies não sejam agrupados dessa forma, um invasor ainda pode criar um subdomínio que imita o site pai. Colocando um formulário de login neste subdomínio, pode forçar os usuários a passar suas credenciais para ele. Esta vulnerabilidade permite dois tipos comuns de ataques, mas existem outros métodos de hacking, como a interceptação de e-mails.
Para encontrar vulnerabilidades com sequestro de subdomínio, analise os registros DNS do site usando a ferramenta KnockPy, que pesquisa subdomínios em busca de mensagens de erro típicas retornadas por serviços como S3 em subdomínios. KnockPy vem com uma lista de nomes de domínio comuns que vale a pena conferir, mas você pode expandi-la. Uma lista semelhante pode ser encontrada no repositório SecLists do GitHub ( https://github.com/danielmiessler/SecLists/)
Capturando subdomínio Ubiquiti
Dificuldade:
URL baixo : assets.goubiquiti.com
Fonte: hackerone.com/reports/109699/
Data de arquivamento : 10 de janeiro de 2016 Recompensa paga
: $ 500
Amazon Simple Storage (ou S3) é um serviço de armazenamento de arquivos que faz parte da Amazon Serviços da Web (AWS). Uma conta no S3 é um bucket que pode ser acessado por meio de um URL da AWS que começa com o nome da conta. A Amazon usa o namespace global para seus URLs de bucket, portanto, cada bucket registrado é único. Por exemplo, se eu registrar um bucket <example>, ele terá o URL <example> .s3.amazonaws.com e somente eu o possuirei. Mas um invasor também pode pegar qualquer balde S3 grátis.
A Ubiquiti criou um registro CNAME para assets.goubiquiti.com e o vinculou ao bloco uwn-images S3 disponível em uwn-images.s3.website.us-west-1.amazonaws.com. Como os servidores da Amazon estão espalhados por todo o mundo, essa URL continha informações sobre a região geográfica onde o bucket estava hospedado -. us-west-1 (norte da Califórnia).
Este intervalo não foi registrado ou a Ubiquiti o excluiu de sua conta AWS sem remover o registro CNAME, mas ao visitar assets.goubiquiti.com, o navegador tentou buscar conteúdo do S3. O hacker pegou esse balde para si e relatou a vulnerabilidade.
conclusões
Fique atento aos registros DNS que apontam para serviços de terceiros, como o S3. Se algum desses registros for encontrado, verifique se a empresa configurou o serviço corretamente. Além disso, você pode monitorar continuamente os registros e serviços usando ferramentas automatizadas como KnockPy no caso de uma empresa excluir um subdomínio, mas se esquecer de atualizar suas configurações de DNS.
Subdomínio Scan.me com link para Zendesk
Dificuldade:
URL baixo : support.scan.me
Fonte: hackerone.com/reports/114134/
Data do relatório : 2 de fevereiro de 2016 Recompensa paga
: $ 1.000 A
plataforma Zendesk fornece suporte ao cliente em subdomínios de sites. Por exemplo, se Exemplo o estava usando, este subdomínio pode ser semelhante a support. <example> .com.
Como no exemplo anterior, os proprietários de scan.me criaram um registro CNAME que associa support.scan.me a scan.zendesk.com. O serviço scan.me foi posteriormente adquirido pelo Snapchat. Pouco antes de o negócio ser finalizado, o subdomínio support.scan.me foi removido do Zendesk, mas seu registro CNAME permaneceu. Depois de descobrir isso, o hacker usando o alias harry_mg registrou scan.zendesk.com e publicou seu conteúdo usando a plataforma Zendesk.
conclusões
Durante o processo de integração entre empresas pai e filho, alguns subdomínios podem ser excluídos. Se os administradores se esquecerem de atualizar os registros DNS, existe a ameaça de sequestro de subdomínio. Como o subdomínio pode mudar a qualquer momento, comece o rastreamento contínuo das informações de registros assim que a empresa for anunciada.
Capturando o subdomínio windsor no site do Shopify
Dificuldade:
URL baixo : windsor.shopify.com
Fonte: hackerone.com/reports/150374/
Data de arquivamento do relatório: 10 de julho de 2016 Recompensa paga
: $ 500
Assumir o controle de um subdomínio nem sempre envolve o registro de uma conta em um serviço de terceiros. O hacker zseano descobriu que o Shopify criou um registro CNAME para windsor.shopify.com que apontava para aislingofwindsor.com. Ele descobriu isso ao pesquisar todos os subdomínios do Shopify em crt.sh, que rastreia todos os certificados SSL registrados e seus subdomínios associados. Essas informações são públicas, pois qualquer certificado SSL deve ser emitido por uma CA para que os navegadores possam verificar sua autenticidade ao visitar o site. Os sites também podem registrar os chamados certificados curinga que fornecem proteção SSL para todos os seus subdomínios (em tais casos, crt.sh é mostrado com um asterisco em vez do subdomínio).
Quando um site registra um certificado curinga, crt.sh não pode determinar a qual subdomínio ele se destina, mas mostra seu hash exclusivo. O serviço censys.io rastreia os hashes de certificado e os subdomínios em que são usados, fazendo a varredura da Internet. Se você pesquisar censys.io pelo hash do certificado curinga, encontrará novos subdomínios.
Percorrendo a lista de subdomínios em crt.sh e visitando cada um deles, zseano percebeu que windsor.shopify.com estava retornando um erro "404 Página não encontrada". Ou seja, o site estava vazio ou não era mais propriedade de aislingofwindsor.com. Para testar a segunda opção, zseano visitou um serviço de registro de nomes de domínio e tentou encontrar aislingofwindsor.com. Descobriu-se que esse domínio poderia ser comprado por $ 10. Ao fazer isso, zseano informou aos representantes do Shopify sobre a vulnerabilidade de sequestro de subdomínio.
conclusões
Se você encontrar um subdomínio que aponta para outro site e retorna um erro 404, verifique se esse site está disponível para registro. O serviço crt.sh pode servir como ponto de partida para identificar um subdomínio. Se você encontrar um certificado curinga lá, procure seu hash em censys.io.
Capturando o subdomínio rapidamente no Snapchat
Dificuldade: Média
URL: fastly.sc-cdn.net/takeover.html
Fonte: hackerone.com/reports/154425/
Data de arquivamento do relatório : 27 de julho de 2016 Recompensa paga
: $ 3.000
Fastly é uma rede de distribuição de conteúdo. ou CDN). Ele armazena cópias do conteúdo em servidores em todo o mundo para que fiquem o mais próximo possível dos usuários que os solicitam.
O hacker Ibraitas informou ao Snapchat sobre uma configuração de DNS incorreta para seu domínio sc-cdn.net. O url fastly.sc-cdn.nethavia um registro CNAME que fazia referência ao subdomínio fastly. Este último pertencia ao Snapchat, mas não estava registrado corretamente. Naquela época, o serviço Fastly possibilitava o registro de subdomínios customizados, desde que o tráfego fosse criptografado em TLS, para o qual foi utilizado o certificado curinga comum Fastly. Em caso de configuração incorreta do subdomínio do usuário no site, era exibida uma mensagem de erro: “Fastly error: unknown domain :. Verifique se este domínio foi adicionado a um serviço. ”Verifique se este domínio foi adicionado ao serviço.
Antes de relatar o problema, Ibraitas procurou o domínio sc-cdn.net em censys.io e confirmou sua propriedade no Snapchat registrando seu certificado SSL. Ele então configurou o servidor para receber tráfego daquela URL e mostrou que o domínio estava de fato sendo usado.
O Snapchat confirmou que uma pequena porcentagem de visitantes continuou a usar a versão antiga de seu aplicativo, que solicitava conteúdo não autenticado daquele subdomínio. A configuração personalizada foi atualizada com um link para um URL diferente. Em teoria, por um curto período de tempo, um invasor pode distribuir arquivos maliciosos para usuários deste subdomínio.
conclusões
Procure sites vinculados a serviços que retornam mensagens de erro. Se você encontrar esse tipo de erro, leia a documentação do serviço e entenda como ele é usado. Em seguida, tente encontrar a configuração incorreta com a qual você pode assumir o controle do subdomínio.
Capture um subdomínio no site Legal Robot
Dificuldade: Média
URL: api.legalrobot.com
Fonte: hackerone.com/reports/148770/
Data de envio : 1 de julho de 2016
Recompensa paga: $ 100
Mesmo quando o subdomínio de um serviço de terceiros está configurado corretamente, o próprio serviço pode não estar configurado corretamente. Frans Rosen disse ao Legal Robot que o registro DNS CNAME para o subdomínio api.legalrobot.com apontava para Modulus.io, que ele poderia sequestrar.
Depois de encontrar a página de erro, o hacker teve que visitar o serviço e registrar um subdomínio. Mas no caso de api.legalrobot.com, isso não foi coroado de sucesso: a Legal Robot já possuía este site.
Sem desistir, Rosen tentou registrar um subdomínio curinga * .legalrobot.com, que permaneceu disponível. A configuração do site Modulus deu prioridade a subdomínios curinga sobre entradas mais detalhadas, entre as quais api.legalrobot.com. Como resultado, conforme visto na Fig. 14.1, Rosen foi capaz de marcar seu próprio conteúdo em api.legalrobot.com.
Observe o conteúdo postado por Rosen na fig. 14,1. Em vez de constranger o proprietário do site e alegar que havia assumido o subdomínio, ele usou uma página de texto modesta com um comentário em HTML para confirmar que foi ele quem postou o texto.
conclusões
Quando um site usa serviços de terceiros para hospedar um subdomínio, ele depende dos mecanismos de segurança desses serviços. Não se esqueça de que, no caso de uma captura de subdomínio bem-sucedida, é melhor fazer a demonstração com cuidado.
Sobre o autor
Peter Jaworski tornou-se um hacker, estudando independentemente a experiência de seus predecessores (alguns deles são mencionados no livro). Ele agora é um caçador de vulnerabilidades de sucesso, graças ao Salesforce, Twitter, Airbnb, Verizon Media, Departamento de Defesa dos EUA e outros, ele agora é engenheiro de segurança de aplicativos no Shopify.
Sobre o editor científico
Tsang Chi Hong , também conhecido como FileDescriptor, é um pentester e caçador de vulnerabilidades. Vive em Hong Kong, escreve artigos sobre segurança na web em blog.innerht.ml , tem interesse em trilhas sonoras e criptomoeda.
»Mais detalhes sobre o livro podem ser encontrados no site da editora
» Índice
» Trecho
Para Habitantes desconto de 25% no cupom - Hacking No
ato do pagamento da versão em papel do livro, um e-book é enviado para o e-mail.