A (security) bug’s life

Crius · July 24, 2024, 12:53pm

Che config usi da hetzner? Suppongo sia roba leggera visto che ci fai girare degli script che faranno probing?

SkyLinx · July 24, 2024, 1:01pm

Intendi le specs dei cloud servers? Ho diversi node pools con l’autoscaling ma la maggior parte dei nodi sono CPX31 con 4 AMD EPYC cores e 8 GB di RAM. Sono abbastanza veloci anche se sono shared compute.

Crius · July 24, 2024, 1:02pm

Si grazie, non uso Hetzner e volevo avere una base di riferimento

SkyLinx · July 29, 2024, 4:05pm

Dopo quattro giorni di vacanza in Estonia ho ripreso a lavorare oggi e ho trovato una bella race condition in un grande retailer asiatico. Usando una tecnica di “single packet” sono riuscito a fare smuggling di molti prodotti nello shopping cart appena prima dell’esecuzione del pagamento, ottenendo tutti quei prodotti gratuitamente :p

Purtroppo questo programma non consente neanche parziale disclosure e non posso dare piu’ info perche’ altrimenti e’ molto facile indovinare il retailer e visto che ho appena riportato il problema ci vorra’ un po’ prima del fix.

Larios · July 29, 2024, 6:03pm

Grazie, vado subito ad approfittarne prima che fixano

Stavo leggendo qui come funziona

Crius · July 29, 2024, 7:41pm

Traduco cosi vedo se ho capito pure: Dato che l’aggiungere roba al carrello avviene in maniera asincrona, puoi premere “E IO PAGO!!!” e poi aggiungere roba al carrello e la transazione del “E IO PAGO!!!” va avanti con l’ammontare iniziale, ma poi il carrello viene validato con quello che c’e’ dentro quando torna la conferma di aver completato il pagamento.

BEH. BEH. Complimentoni ai devs

SkyLinx · July 30, 2024, 10:50am

Si’ e’ la tecnica descritta in quel video.

Crius:

SkyLinx:

…ingle packet” sono riuscito a fare smuggling di molti prodotti nello shopping cart appena prima dell’esecuzione del pagamento, ottenendo tutti quei prodotti gratuitamente :p
Purtroppo questo programma non consente neanche parziale disclosure e non posso dare piu’ info perche’ altrimenti e’ molto facile indovinare il retailer e visto che ho appena riportato il problema ci vorra’ un po’ prima del fix.

Traduco cosi vedo se ho capito pure: Dato che l’aggiungere roba al carrello avviene in maniera asincrona, puoi premere “E IO PAGO!!!” e poi aggiungere roba al carrello e la transazione del “E IO PAGO!!!” va avanti con l’ammontare iniziale, ma poi il carrello viene validato con quello che c’e’ dentro quando torna la conferma di aver completato il pagamento.

BEH. BEH. Complimentoni ai devs

Corretto :D

Kaya · July 31, 2024, 7:36am

@SkyLinx a questo punto ti pongo un quesito mio personale diretto.

Quanto è sicuro un server IIS 5.1 esposto su internet sebbene dietro un reverse proxy?

Vorrei far capire qua in azienda che è inutile farmi le pulci sulla password ipercomplessa, se poi esponi un windows xp con un IIS così datato.

P.s.: non abbiamo bugbounty ma sei mi dai un “input” hai una birra offerta (anche 2 o 3)

Crius · July 31, 2024, 8:35am

SkyLinx · July 31, 2024, 1:02pm

E’ una domanda seria? :D

Kaya · July 31, 2024, 2:54pm

Assolutamente

Larios · July 31, 2024, 5:03pm

In generale che genere di operazioni compie il sito?
Tipo: autenticazione, upload/download files, messaggistica… ?

Crius · July 31, 2024, 5:38pm

Immagino il deployment process sia, come li chiamava un mio ex capo, “drop&plop” aka "(s)ftp?

SkyLinx · August 1, 2024, 1:28am

Quello di cui parlavo e’ un retailer/shop.

Oggi ho trovato un’altra bella vulnerabilita’ Si tratta di nuovo di un media streaming service, e sono riuscito a bypassare tutte le restrizioni per condividere una sola subscription con account illimitati che possono fare streaming da device illimitati (il limite normalmente e’ 2 per account e ovviamente ogni account deve avere una subscription attiva). Il tutto per sole 8 euro al mese e ho scritto un exploit PoC che automatizza l’attacco in 5 secondi anche per persone non tecniche

In questo caso purtroppo il CVSS score e’ “soltanto” 6.5 (medium) perche’ non involve furto di credenziali o account takeover etc etc.

Pero’ quello che ho trovato puo’ in teoria causare una significante perdita di revenue per l’azienda se, immaginate, uno exploit simile al mio viene reso pubblico su Internet. In practica distrugge il business model dell’azienda

SkyLinx · August 1, 2024, 1:30am

Sono contento di questa qua perche’ questa azienda has soltanto 4 reports da Novembre 2023 che normalmente significa ottima sicurezza. E ho impiegato un giorno dalle 11 di ieri mattina fino alle 4AM di oggi per trovare questo bug, quindi non male.

Crius · August 1, 2024, 6:05am

Ti prego dimmi che non è semplicemente bastato mandare un payload con l’id degli altri device e lo status a “off” e quello della device che volevi a “on” per aggirare il limite

Kaya · August 1, 2024, 7:10am

E’ un applicativo web per gestire gli immobili (quindi a parte messaggistica fa tutto quello che hai detto)… Quindi ha dentro anche dati “interessanti” come planimetrie ecc ecc…

Crius · August 1, 2024, 8:43am

Se c’e’ roba importante che non dovrebbe finire “in giro” io tratterei come priorita’ il metterlo in sicurezza. Che vuol dire come prima cosa levarlo da una macchina con windows e iis e metterlo su un hardened linux qualsiasi (debian va benissimo) con un nginx configurato come si deve.

Preoccuparsi di robe come password per accesso su una configurazione come quella e’ come mettere la doppia serratura su una porta di legno marcio imho

Kaya · August 1, 2024, 8:57am

E’ un po più complicato.
Primis perché è IIS perchè sotto c’è dot net.
Secondo perchè… perchè boh.
E cmq quella macchina si può anche spegnere solo che “ehi funziona perchè toccarla”…

Crius · August 1, 2024, 8:59am

Allora a posto
Se vuoi evitare che ti arrivino cazzi nel culo in futuro, scrivi qualcosa, una mail o che so io, in cui spieghi che e’ un rischio di sicurezza avere quella macchina la’ e via