- Dołączył
- 26 Maj 2015
- Posty
- 19243
- Reakcje/Polubienia
- 56070
źródło:Rzućmy okiem na kilka wrażliwych i interesujących informacji, które możemy znaleźć w danych dotyczących skracania URL. Poniżej znajduje się kilka przykładów rzeczy, które można znaleźć wzorując się naZaloguj lub Zarejestruj się aby zobaczyć!. Wyniki wyszukiwania nie zostały specjalnie opublikowane, aby chronić firmy podatne na ataki. Pamiętajmy, że jeśli znajdziemy jeszcze aktualne podatności – zgłośmy je w duchuZaloguj lub Zarejestruj się aby zobaczyć!zainteresowanym osobom / firmom. Wszystkie zapytania zostały wpisywane wZaloguj lub Zarejestruj się aby zobaczyć!– zakładki Discovery.
Wykonane ataki:
Pierwszą kategorią, są przykłady prób ataków. Możemy zgadywać, że skryptowe dzieciaki, cyberprzestępcy, a być może także inni używają skracarek, by dzielić się swoją pracą z „kolegami po fachu”. Niektóre z zidentyfikowanych adresów URL wyglądają jak proste dowody koncepcji (ang. Proof of Concept) tutoriali, podczas gdy inne są przeznaczone do eksfiltracji danych. Poniżej znajdują się przykłady ataków próbujących wykorzystać LFI (ang. Local File Inclusion) orazZaloguj lub Zarejestruj się aby zobaczyć!wraz z techniką osadzaniaZaloguj lub Zarejestruj się aby zobaczyć!, które nie zawsze są poprawnie obsługiwane przez różnego rodzaju aplikacje. No i oczywiścieZaloguj lub Zarejestruj się aby zobaczyć!:
Głębokie ukrycie:
Kolejnym przykładem są kopie zapasowe danych. Wielu programistów i administratorów udostępnia tymczasowo kopie zapasowe online np. aby je ściągnąć do innego systemu. Udostępniając je widocznie niektórzy z nich używali skracarek URL, aby uczynić sobie ten proces bardziej wygodnym. Luki te są klasyfikowane jakoZaloguj lub Zarejestruj się aby zobaczyć!.
Prywatne pliki:
Innym powszechnym odkryciem jest udostępnianie prywatnych plików bez ochrony hasłem. Użytkownicy zakładają, że losowe identyfikatory skracarek (te magiczne algorytmy, które można prosto złamać) zapewnią bezpieczeństwo ich dokumentom. W poniższym przypadku można samemu ocenić ile poufnych dokumentów krąży po różnych usługach udostępniania plików:
Rezerwacje hoteli, lotów:
Serwisy do przechowywania plików w chmurze to nie jedyne linki bez haseł, które są udostępniane online. Systemy rezerwacji hotelowych i biura podróży często wysyłają e-maile z linkami bez haseł, co zapewnia łatwy dostęp do szczegółów takich rezerwacji:
Loginy, hasła, tokeny:
Tokeny sesji w adresach URL od lat są uważane za złą praktykę, głównie dlatego, że serwery proxy i ataki przez ramię mogą zagrozić obecnej sesji użytkownika. W poniższym zestawieniu trochę przykładów adresów URL zawierających poufne informacje:
Środowiska developerskie:
Istnieje również wiele systemów, które są wdrażane na różne środowiska przed produkcją – a wyniki z ich błędów, eksperymentów oraz testów często są współdzielone pomiędzy programistami. Wyszukiwanie środowisk developerskich oraz testowych bardzo często również ujawnia interesujące wyniki:
Podsumowanie:
Patrząc na dane pozyskane przez archiveteam.org tylko z czterech miesięcy wyraźnie widać, że użytkownicy bez skrupułów skracają wrażliwe dane w tego typu serwisach. Usługi te są używane bez głębszego zastanowienia się nad faktem, że osoby trzecie mogą uzyskać dostęp do tych samych adresów URL, co jest klastycznym przykładem zabezpieczenia przezZaloguj lub Zarejestruj się aby zobaczyć!. Dane te mogą być wykorzystywane przez ludzi o złych intencjach, pragnących nadużywać ich na swoją korzyść. Lecz analogicznie działy bezpieczeństwa w organizacjach i firmach mogą wykorzystać je w dobrej wierze np. poprzez monitoring, czy nie doszło do wycieku ich własnych danych. Co więcej – pentesterzy oraz konsultanci bezpieczeństwa mogą korzystać z tego rodzaju technik w celu wyszukiwania danych swoich klientów dostarczając im cenne informacje o próbach potencjalnych ataków i zagrożeniach, nad którymi mogliby wspólnie popracować.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Zainteresowani metodologią działań mogą przeczytać pełny artykuł:
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
