Вы про ИИ-деда-антискамера? Да, в топ взлетел, но в середине поста было ясно, что что-то не так) вероятно многим просто хотелось, чтобы всё было так, вот и вышел в топ.
В Open Graph превьюшка же может отличаться от содержимого. Сброс пароля по GET сейчас вероятно крайне редко где встретишь, а вот подтверждение с уникальным идентификатором - вполне, что добавит как раз вектор атаки, если сервис сам "кликнет" по ссылке до юзера.
Задал вопрос, чтобы получить ответ, но именно в рамках данного поста. То есть того, что описал автор.
У нас совершенно разное представление критичности уязвимости. Если проверка Origin/Referer является критичной, то что за уровень у RCE? Последствия..значит и сам смартфон уязвим, раз на нём такое открыть можно в принципе. Критичность не так определяется в данном случае. Если для юзера, то хоть XSS, хоть Smuggling - данные утекли, можно воспользоваться, только вот при XSS том же - виноват разработчик, а при фишинге - сам себе виновник.
Проверка ссылок:
3.2 Автоматически проверять ссылки на наличие редиректа, будь то редирект Location, или другой редирект, и помечать такие ссылки как сомнительные.
К примеру в URL в конце нет слэша, на некоторых сайтах идёт редирект на URL со слэшем в конце. А сайт вполне себе легитимный, но по правилам становится сомнительным тогда.
Авторизован или нет - тоже может быть редирект на промежуточную страницу.
Версия браузера, вэб или мобильный и т.п. Это навскидку примеры, при которых будет 302 или в META тэге, таким образом все идут в сомнительные. Не годится такая защита.
3.1 Проверять домен из ссылки на давность регистрации, указывая у новых доменов, что он зарегистрирован недавно.
Ну это уж совсем для наших людей :)
Будет такое:
Скрытый текст
Бесполезно, будем щемиться дальше.
2. Любая ссылка в мессенджере открывается только через промежуточный прокси адрес, вроде checklink.max.ru, который на 2-3 секунды задержит открытие ссылки, но предварительно проверит безопасность ссылки.
А как проверит? На наличие небезопасного текста на странице? Всё отрисуется JS-кой, а checklink.max.ru увидит что-то простенькое и безобидное.
1. Подгрузка сайта по ссылке в небольшом фрейме в самом сообщении с переходом по всем редиректам вполне себе покажет, как выглядит конечная точка, без необходимости клика по ссылке.
Получает юзер такое сообщение с несколькими разными ссылками и у него вместо сообщения отрендерится такая страница аля нулевые, всё мигает, всё разное и грузит полдня.
Вообще любые переходы по ссылкам, которые может инициировать сервис типа для проверки, до того, как отдать пользователю - не лучшая затея, так как есть одноразовые ссылки например, сброс пароля, подтверждение и т.д, и т.п.
4-й пункт верный подход.
M_Script, знакомое, но не могу вспомнить точно, это модер какой-то был на античате или вроде того?
Это прям чересчур стандартные стандарты, их так нейронка и оформляет. Стиль автора в комментариях и статье - разница видна же. И главное - автор вообще будто не в теме о чём его же пост. В комментариях даже не пытался разъяснить, почему так он написал про Orgin, Referer тот же, а сразу говорит мол да, мой косяк.
Видите ли какое дело, на том же Standoff BB триажеры запарились получать сгенерированные ИИ-отчёты. Данный пост это типичное произведение ИИ. Думаю, получив такое, в саппорте и молчат. А кому отвечать, автору, что не удосужился перепроверить творчество нейронки и отправил разрабам "отчёт"? Тут же в комментариях автор пошёл назад пятками, разве нельзя было сделать это ДО отправки. Вот из-за подобных приходится ждать, пока триаж ответит, разобрав кучу нейрохлама в виде репортов. Это тоже и есть одна из причин, почему меня так зацепил данный пост, и те кто влепили мне в карму минус с подписью "Подозрительная активность", теперь знайте причину :)
На техническом ресурсе, в разделе Информационной безопасности - люто заплюсованный пост-нейротрэш, не имеющий с ИБ ничего общего. Это обычный фишинг, его не могут устранить разработчики. Почитав комментарии, видя реакции на них в виде стрелочек вверх и вниз, становится понятно, что идёт ответка на впаривание маха. Проблема только в том, что попытки его очернить в данном посте, это не уровень ИБ, это для Пикабу. Вот если бы технически подкованный, реальный багхантер раскопал багу и так вот поставил на место разарабов маха, то да, но для этого есть ББ-площадки, а на "Хабр уже не торт" можно скидывать нейрослоп.
Знаете, я как-то дал ИИ некоторые свои наработки по багам, они совершенно не критичны, но в массе могли бы дать мелкий импакт в связке с чем-то, думал он чуть систематизирует, но он же пошёл дальше и выдал крит на 9+, ещё и отчёт забацал. Так и здесь видимо.
Автор, судя по накрученному вами аж до 8.8 (Critical), вы явно вдохновились выплатой до 10M ₽ - это из https://bugbounty.standoff365.com/programs/max Но как заметили выше, необходимо ввести номер, код и т.п действия.
нет проверки Origin / Referer
при запросе на апи, скрипт на сервере добавит какой угодно Referer или Origin
Отсутствие Rate limit, проверки IP на множество соединений, идентификатор устройства - да, недочёты явно, но это не 8.8, видимо здесь ИИ решил не огорчать вас и порадовать на всю катушку, возможно добавив сформированный отчёт(лишь предположение, может ИИ не использовался совсем).
Впрочем триажеры могут рассказать много интересного об отчётах с CVSS 8+, сгенерированными особенно много за последнее время. Может есть кто из триажеров, опубликуют подобный пост без раскрытия?
18-летний Cabernet Sauvignon, что открыли на совершеннолетие, оказался палёным.
Вы про ИИ-деда-антискамера? Да, в топ взлетел, но в середине поста было ясно, что что-то не так) вероятно многим просто хотелось, чтобы всё было так, вот и вышел в топ.
В Open Graph превьюшка же может отличаться от содержимого. Сброс пароля по GET сейчас вероятно крайне редко где встретишь, а вот подтверждение с уникальным идентификатором - вполне, что добавит как раз вектор атаки, если сервис сам "кликнет" по ссылке до юзера.
Задал вопрос, чтобы получить ответ, но именно в рамках данного поста. То есть того, что описал автор.
У нас совершенно разное представление критичности уязвимости. Если проверка Origin/Referer является критичной, то что за уровень у RCE? Последствия..значит и сам смартфон уязвим, раз на нём такое открыть можно в принципе. Критичность не так определяется в данном случае. Если для юзера, то хоть XSS, хоть Smuggling - данные утекли, можно воспользоваться, только вот при XSS том же - виноват разработчик, а при фишинге - сам себе виновник.
Проверка ссылок:
К примеру в URL в конце нет слэша, на некоторых сайтах идёт редирект на URL со слэшем в конце. А сайт вполне себе легитимный, но по правилам становится сомнительным тогда.
Авторизован или нет - тоже может быть редирект на промежуточную страницу.
Версия браузера, вэб или мобильный и т.п. Это навскидку примеры, при которых будет 302 или в META тэге, таким образом все идут в сомнительные. Не годится такая защита.
Ну это уж совсем для наших людей :)
Будет такое:
Скрытый текст
А как проверит? На наличие небезопасного текста на странице? Всё отрисуется JS-кой, а checklink.max.ru увидит что-то простенькое и безобидное.
Получает юзер такое сообщение с несколькими разными ссылками и у него вместо сообщения отрендерится такая страница аля нулевые, всё мигает, всё разное и грузит полдня.
Вообще любые переходы по ссылкам, которые может инициировать сервис типа для проверки, до того, как отдать пользователю - не лучшая затея, так как есть одноразовые ссылки например, сброс пароля, подтверждение и т.д, и т.п.
4-й пункт верный подход.
M_Script, знакомое, но не могу вспомнить точно, это модер какой-то был на античате или вроде того?
При отправке тем же питонячим requests можно поставить ЛЮБОЙ Origin / Referer
Для web-версии? Проверка идентичности браузера и всех метрик?
Откуда данные? Необходимо иметь логи маха, чтобы знать, с одного ли IP идут запросы или проксируются ещё через множество.
Допустим да.
CVSS 8.8 Critical точно.
То, что Вы привели пример мэйла, работало, тоже помню, но в примере автора запросы шли с сервера, а не JS.
Это прям чересчур стандартные стандарты, их так нейронка и оформляет. Стиль автора в комментариях и статье - разница видна же. И главное - автор вообще будто не в теме о чём его же пост. В комментариях даже не пытался разъяснить, почему так он написал про Orgin, Referer тот же, а сразу говорит мол да, мой косяк.
Видите ли какое дело, на том же Standoff BB триажеры запарились получать сгенерированные ИИ-отчёты. Данный пост это типичное произведение ИИ. Думаю, получив такое, в саппорте и молчат. А кому отвечать, автору, что не удосужился перепроверить творчество нейронки и отправил разрабам "отчёт"? Тут же в комментариях автор пошёл назад пятками, разве нельзя было сделать это ДО отправки. Вот из-за подобных приходится ждать, пока триаж ответит, разобрав кучу нейрохлама в виде репортов. Это тоже и есть одна из причин, почему меня так зацепил данный пост, и те кто влепили мне в карму минус с подписью "Подозрительная активность", теперь знайте причину :)
На техническом ресурсе, в разделе Информационной безопасности - люто заплюсованный пост-нейротрэш, не имеющий с ИБ ничего общего. Это обычный фишинг, его не могут устранить разработчики. Почитав комментарии, видя реакции на них в виде стрелочек вверх и вниз, становится понятно, что идёт ответка на впаривание маха. Проблема только в том, что попытки его очернить в данном посте, это не уровень ИБ, это для Пикабу. Вот если бы технически подкованный, реальный багхантер раскопал багу и так вот поставил на место разарабов маха, то да, но для этого есть ББ-площадки, а на "Хабр уже не торт" можно скидывать нейрослоп.
Раздел есть, дыры нет. Я не просил указать где в статье текст о дыре. Что есть дыра, в чём бага до уровня 8.8?
Объясните, что за дыра? Без шуток, реально не понимаю.
Знаете, я как-то дал ИИ некоторые свои наработки по багам, они совершенно не критичны, но в массе могли бы дать мелкий импакт в связке с чем-то, думал он чуть систематизирует, но он же пошёл дальше и выдал крит на 9+, ещё и отчёт забацал. Так и здесь видимо.
Автор, судя по накрученному вами аж до 8.8 (Critical), вы явно вдохновились выплатой до 10M ₽ - это из https://bugbounty.standoff365.com/programs/max
Но как заметили выше, необходимо ввести номер, код и т.п действия.
при запросе на апи, скрипт на сервере добавит какой угодно
RefererилиOriginОтсутствие Rate limit, проверки IP на множество соединений, идентификатор устройства - да, недочёты явно, но это не 8.8, видимо здесь ИИ решил не огорчать вас и порадовать на всю катушку, возможно добавив сформированный отчёт(лишь предположение, может ИИ не использовался совсем).
Впрочем триажеры могут рассказать много интересного об отчётах с CVSS 8+, сгенерированными особенно много за последнее время. Может есть кто из триажеров, опубликуют подобный пост без раскрытия?
Нанодиета с подсчётом количества атомов и НейтронЭлектронПротон, вместо БЖУ.
Если владелец участка подтверждает такое название как gosuslugl.ru например, то он вполне может осознавать возможную ответственность.
Ну что вы со своей несовременностью, нарратив сейчас иной. И в эту игру вполне играют вдвоём.
Вы думаете она единственная?
о, и сюда 168-ФЗ пробирается..
Стоячая волна образуется :)
..ту самую сгенерированную правду со спутников :)
Как и ТСПУ, блокировка этих ужасных угроз от пользователя, что внутри страны :)