Immagino ci sia un path per migrare dalla tua versione perlomeno all’ultima LTS che ha gli aggiornamenti di sicurezza?
Probabilmente e’ un percorso lungo e tortuoso vista la situazione datata 
ma purtroppo e’ cosi quando non si tocca piu qualcosa “perche’ funziona” e 10 anni dopo metterci mano diventa una missione lunare
Si ma poi boh
Da la’ il mio 
No, al contrario e’ abbastanza complicato e ho dovuto manipolare alcune cose nella session per farlo funzionare. Complicato anche perche’ session cookie e’ HttpOnly, quindi non posso accedere ad esso con JavaScript direttamente e ho dovuto essere “creativo” 
Vabbe’ pero’ non puoi tirare sti bait e poi non spiegare un cazzo, possa un angelo biblicamente accurato farmi visita se mento.
Maschera il nome e quando arrivi a dettagli importanti cambia in qualcosa tipo:
E poi ho usato un attacco sql injection → e parapim parapam
Inb4 la descrizione che diventa: E’ parapim parapam, poi parapim parapam, e quindi parapim parapam.
e poi arrivo il Sig. Vaprolano che in combutta con Telotronkomir decise che fosse l’ora di indossa un Setinchini T’nculo
Si… sembra interessante.
OK, qui alcuni dettagli tecnici (scrivero’ una write up sul mio nuovo blog se mi danno il permesso).
Workflow dell’exploit:
Con il mio PoC exploit hai bisogno di caricare un po’ di JavaScript che e’ gia’ facile e impiega alcuni secondi soltanto, ma spendendo un po’ piu’ di tempo si puo’ rendere il tutto anche piu’ semplice.
Sono curioso di capire, qui ci sono 2 aree di interesse se non erro:
Sulla prima mi sembra che di fatto non ci sia molto, nel senso che per poter fare qualcosa devi richiedere all’utente di fare paste di JS nella console del browser, a quel punto puoi chiedergli di passarti direttamente i cookie.
La seconda e’ interessante perche’ con questo exploit puoi commettere una frode, pero’ allo stesso tempo la soluzione non mi sembra che passi necessariamente da quello che tu hai exploitato ma magari mi sbaglio?
In sostanza la piattaforma deve determinare quanti unique device ci sono che stanno facendo streaming, e hanno mille cose da poter usare, anche banalmente controllare che non ci siano 3 stream da 3 token uguali aka 3 device uguali lato server.
Non sono sicuro di vedere una connessione tra fare questa cosa e la “sicurezza” o sbaglio?
Penso di aver capito ma credo manchi qualche parola qua
se condivido un cookie che contiene il device id un token contenuto nel session cookie
perche’ sta frase non mi sembra abbia senso
Prova a dirla in inglese se ti viene meglio
Ogni cosa che permette a qualcuno di bypassare controlli e’ tecnicamente una vulnerabilita’ e quindi in tema di sicurezza. In questo caso la vulnerabilita’ non sta nell’acquisire credenziali di altri o cose simili; in questo caso il danno non e’ verso altri utenti ma verso la piattaforma stessa, e dunque e’ tutta una frode se vogliamo vederla cosi’ ma e’ sempre una mancanza in termini di sicurezza.
manca una “e” :D
intendevo "se condivido un cookie che contiene il device id E un token contenuto nel session cookie "
certamente ma per capirci, una delle tante possibili soluzioni da parte della piattaforma potrebbe essere di non toccare nulla di quello che tu hai trovato ma semplicemente mettere un effettivo controllo di “quanti mi stanno chiedendo questo stream contemporaneamente per queste credenziali”?
se ci fosse questo controllo a quel punto quello che tu hai trovato, non essendo in grado di triggerare nessuna frode, verrebbe cmq considerato come vulnerabilita’ di sicurezza?
Trovata un’altra race condition in 4 ore 
Posso usare lo stesso voucher con molti account.
cool, e’ interessante quando spieghi come comunque, se deve essere un thread “va che figo sono” diventa 
in frettissima 
Se pensi che scrivo in questo thread per dire che sono figo allora non scrivo piu’! Non ne ho bisogno. Gia’ ho avuto delle critiche perche’ menzionavo le somme delle ricompense (il che mi ha sorpreso perche’ la mia intenzione era soltanto quella di evidenziare come si puo’ guadagnare con bug bounties, nel caso qualcuno e’ interessato a provare).
Mi pare di aver descritto un caso simile comunque la TL;DR:
L’app richiede un pagamento con carta di credito oppure un voucher per acquistare una subscription. Normalmente un voucher dovrebbe essere usabile soltanto una volta, ma se l’applicazione e’ vulnerabile a race conditions come in questo caso, e’ possibile usare un singolo voucher per creare una subscription in molti accounts.
La vulnerabilita’ e’ spesso chiamata “limit overrun” (cioe’ bypassi un limite) basato su race condition. “Race condition” e’ una situazione che accade quando inviii molte richieste al server e il comportamento del server cambia tra l’invio di quelle richieste in parallelo e l’invio delle stesse in sequenza o comunque non allo stesso momento.
Nel caso di un voucher, l’applicazione normalmente flagga il codice come “usato” al primo utilizzo. Ma se invio richieste per fare un ordine con lo stesso voucher code e allo stesso tempo, sfrutto il delay che c’e’ tra l’applicazione del codice in un ordine, and il marking del codice come gia’ usato. Quindi c’e’ la possibilita’, se la applicazione e’ vulnerabile, di creare piu’ ordini con lo stesso voucher prima che il voucher viene markato come usato.
In questo caso, e’ stato un po’ piu’ complesso perche’ l’ordine avviene in due fasi: un ordine draft col voucher, e la conferma dello stesso che crea la subscription.
La tecnica che ho usato e’ la stessa che ho menzionato giorni fa, la “Single packet”, che significa invio tutte le richieste in un singolo TCP packet cosi’ da eliminare i delay e network jitter etc, cosi’ tutte le richieste arrivano al server allo stesso momento.
Tutto qui, e’ abbastabza semplice come concetto credo.
Per evitare questo tipo di problemi, l’applicazione dovrebbe usare qualcosa tipo il pessimistic locking di relational databases (o simile concetto in altri sistemi) cosi’ da bloccare il record di un voucher mentre viene usato per il primo ordine processato dal database, per prevenire l’accesso allo stesso da altri processi per altri ordini.
skylinx quante vulnerabilità trovi in un wordpress medio? 
cioé, io leggo ste cose e poi penso ai siti che tiro su e mi tremano i polsi
male male
non so se esista l’iSite 
ma probabilmente i nostri clienti non tirerebbero fuori il grano per usarlo
Scherzi a parte ma per me è una tecnologia molto superata ma resiste perché tanti continuano a venderla e cmq ha una grossa fetta di mercato quindi un po’ anche per inerzia ed ecosistema va avanti.
Secondo me però tipo 80% di chi ha un sito wordpress (cms, server side rendered) in realtà non ne ha bisogno e andrebbe meglio con roba statica che gli costa una nocciolina e si tolgono miriadi di problemi di sicurezza relativi ad avere un server.
Pero’ hey le agenzie ti devono vendere qualcosa quindi il mondo va avanti cosi…
Di solito ignoro Wordpress e normalmente non lo trovi in BB
Prima di partire a testare fai anche qualche ricerca su questi database online che riportano exploit noti? Cerchi di controllare la versione di quello che usano?
Tipo questo (@Kaya)
E poi ti trovi con un iis su winxp
WordPress va benissimo per una valanga di use cases (piccola impresa, vetrina, presenza online, sito corporate di rappresentanza, etc) il problema è quando:
Che caso vuole è il 90% dei siti di wordpress, ma non è colpa di wp