Un po’ OT ho googlato cadrega e non ho capito cosa significa. E’ la sedia?
3 Likes
Non entro in merito a questo… che ci sono tante soluzioni possibili…
Ma per un questionario vuoi le password? Dai su…
Encryption at rest aiuta almeno con attacchi tipo SQLi per evitare data exfiltration, ma se hai altre vulnerabilita’ che per esempio di consentono di fare command injection o comunque trovare la encryption key, hai comunque un problema.
A lavoro per una roba critica ho architettato il sistema con DEK+KEK, che per chi non lo conosce sta per “Data Encryption Key” + “Key Encryption Key”.
Praticamente i dati sono encryptati con la DEK, e la key usata per DEK e’ encryptata con la KEK, che non e’ salvata nel sistema in alcun modo ma risiede soltanto in memoria e viene caricata a startup dall’esterno. Questo sistema permette la rotation facilmente perche’ puoi semplicemente cambiare la KEK molto spesso senza dover reencryptare i dati, e allo stesso tempo la KEK e’ estremamente difficile da trovare se un attacker fa escape dal container della app perche’ la key e’ soltanto in memoria e non puo’ essere trovata da nessuna parte nel fs, in qualunque formato. :)
Mamma mia da quanto tempo non li vedo! Ma fanno ancora film etc?
Sono proprio all’inizio, sono arrivato all’horizontal privilege escalation, li sto facendo nelle pause come passatempo 
@SkyLinx cosa ne pensi di provare a bucare qualche sito governativo russo ? Se tanto mi dà tanto, non dovranno essere proprio il top in sicurezza 
Magari cambi l’esito delle prossime elezioni 
Ad esempio se usano Classroom di google funziona così, devono essere loggati con l’account della scuola per poter rispondere. Altrimenti chiunque potrebbe prendersi il link della survey e riempirli di schifo
Occhio che hanno finito il plutonio e cominciano a usare le martellate.
nel mio caso eravamo a livelli ancora più basilari, del tipo salvare le password in chiaro nei file di config e/o a db.
Per non parlare dei fantastici file “password.txt” piazzati sui desktop…
Nel mio job description c’è’ “ethical” hacker per un motivo. Non attacco niente senza esplicito consenso da anni perché non voglio guai. Attaccare il governo russo poi 
Oggi mi è stato accettato un report che avevo pending ma due sono stati flaggati come duplicates quindi niente $$$ per quelli 
In compenso ho ricevuto altre 2 invitations per private programs. Ne ho così tante che probabilmente non avrò bisogno di tentare la fortuna con quelli pubblici per un bel po’ di tempo
Un invito che ho avuto oggi, visto che si parla di governi, e’ per la tax administration di un altro paese, forse do una occhiata nel weekend.
Sempre di governi, e’ da tempo che non do una occhiata al dipartimento della difesa americana, che ha un public program.
Sono tra quei 1400+ di cui si parla qui https://www.hackthepentagon.mil/
Ho trovato un modesto 2 vulnerabilità ma comunque è qualcosa (entrambe le vulnerabilità erano nel loro sistema di gestione dello stock magazzino di roba che usano negli uffici, quindi non roba super importante ma meglio di niente)
2 Likes
Ma che livello di trasparenza c’è su queste bounty? avranno un sacco di gente che per la maggior parte ti sonda l’applicazione aggratis, poi nel caso si trovasse qualcosa che non va, pagano il primo, una frazione di quello che costerebbe assumere qualcuno di qualificato apposta, è un win win.
O sbaglio? 
Interessanti i bug che hai trovato, conosco anch’io Hackerone e ci ho pure preso qualche bounty anni 2020-2021 (not bad ma non grandi cifre), mi ero intrippato proprio grazie a Mr Robot 
Avevo trovato un open redirect con cui rubare l token OAuth perche questo veniva passato tramite URL, e una funzione API non protetta dove bastava inserire l’ID numerico di qualcuno e uscivano tutti i dati privati dell’utente (nome, email, numero di telefono ecc), per arrivarci ho dovuto fare path traversal
Oggi non riesco più a dedicarmici, mi manca la concentrazione e la voglia, di tanto in tanto leggo qualcosa ma riguarda più bug ed exploit che vengono trovati nei smart contract
Cosa intendi per transparenza in questo caso? I programmi privati di solito non consentono la disclosure di proprio niente. Tutto e’ privato
“una frazione di quello che costerebbe assumere qualcuno di qualificato apposta” → e’ il contrario. Un pentest regolare ha un costo e time frame prefissati, e una volta trascorso quel tempo si fermano (faccio anche pentests). Con bug bounties invece sono gli individui che si fermano quando vogliono, e spesso con questo approccio si trovano problemi che e’ raro trovare con pentest regolari. Per un’azienda BB significa trovare e risolvere molte piu’ vulnerabilita’ (anche quelle piu’ difficili), e BB costano molto di piu’ di pentest perche’ paghi per ogni singola vulnerabilita’ valida e in scope.
“inserire l’ID numerico di qualcuno e uscivano tutti i dati privati dell’utente (nome, email, numero di telefono ecc)” → si chiama IDOR, insecure direct object reference 
1 Like
I triagers mi hanno aumentato lo CVSS score di un mio report a 9.8 :D La bounty dovrebbe essere $12K :D (la vulnerabilita’ e’ basata su authentication bypass con account takeover; ho trovato una falla nel loro SSO)
1 Like
Confermato 9.8 e la reward di $12K + bonus di $500 perche’ hanno apprezzato i dettagli del report 
Devo aspettare circa un mese per il pagamento ma e’ confermata. 
4 Likes
Quanto tempo ti ha preso trovarla?
Mi piacerebbe dire 2 giorni ma ci ho impiegato 3 mesi qualche ora qui qualche ora li’. Quindi non velicissimo ma non mi lamento :)
2 Likes