per i comuni mortali…?
Voglio essere un tuo padawan sky
Mostrami il potere della forza
Buon aggiornamento a tutti
Oh, pensavo, visto il topic, che erano tutti persone con background technico qui 
in pratica:
- XSS, o Cross Site Scripting, e’ una classe di vulnerabilita’ che ti consente di eseguire codice (JavaScript) nel browser della vittima (di solito, perche’ questo tipo di attacco e’ possibile anche server side con NodeJS, anche se raro). Con questo codice, potenzialmente, puoi rubare authentication tokens e altre informazioni della vittima, oppure modificare il comportamento della applicazione, o spiare quello che fa la vittima. Puoi persino fare hijacking del browser
- Ci sono vari tipi di XSS, ma in questo caso e’ del tipo “stored”. Significa che ho salvato un cosiddetto payload con una sintassi particolare in alcuni dati. Quando la pagina che coontiene queste informazioni viene resa nel browser, del codice che io controllo viene eseguito nel browser, e posso fare praticamente quello che voglio.
- CSP, o Content Security Policy, e’ una configurazione che dice al browser da quali origini possono essere caricate alcune risorse come JavaScript files, stylesheets, immagini, fonts etc.
- In questo caso, CSP consente di caricare JavaScript soltanto dalla stessa origine (protocollo http/https + hostname/dominio + porta) del sito oppure da YouTube per embedding dei video. il CSP proibisce il caricamento di JavaScript files da qualunque altra origine, e proibisce anche gli inline scripts (scripts rendered direttamente nella pagina invece che con un file esterno). A causa di queste restrizioni, non potevo usare uno script da un dominio che controllo, e dunque la maggior parte dei colleghi hackers/hunters si sarebbe fermata qui.
- Dal momento che scripts da YouTube sono consentiti, ho investigato e trovato che YouTube mi consente di generate al volo uno script che esegue codice che io controllo (descritto nel post precedente) e che proviene da YouTube stesso, quindi tutto ok per il browser perche’ rispetta il CSP
- Dunque con una combinazione di CSP bypass + stored XSS sono riuscito ad eseguire codice che io controllo, nel browser della vittima.
- Questa vulnerabilita’ e’ stata accettata come critical perche’ la pagina in cui ho iniettato il codice e’ la home page, quindi tutti gli utenti loggati la visitano, il che significa che come attacker potrei fare harvesting dei cookie di tutti gli utenti (inclusi admins) e impersonarli.
E’ piu’ chiaro adesso?
ps. for duck’s sake, sono piu’ lento a scrivere in italiano che in inglese :(
A lavoro tutti i nostri kubernetes clusters e le compute instances sono private e non accessibili direttamente da Internet. Sono accessibili soltanto attraverso Google Identity Aware Proxy (IAP), quindi tutto OK. Anche per roba personale sui miei server SSH non e’ esposto ad Internet ed e’ accessibile soltanto attraverso un Cloudflare tunnel e ZeroTrust Access.
Quindi nessun problema.
this service is not exposed to the internet they said, so it’s safe… they said
Not sure what you mean. Those instances don’t even have a public interface and require a gateway for outbound connections for updates etc. There is no way on earth you can access those instances directly over the Internet. Period. The only way you can access them is from the IAP, which requires strong Google auth and is initiated from an entirely different network segment via VPC. Good luck bypassing that.
Cloudflare’s ZeroTrust is pretty robust as well. I have access restricted to Finland only as location or a Wireguard VPN I control. SSH Is not exposed to the Internet directly.
la parte più divertente è che mi rispondi in inglese ad una frase che ho scritto in inglese solo perchè era una citazione memosa.
comunque sì, avevo capito che i tuoi sistemi sono protetti e non espongono il servizio SSH.
Però converrai con me che molta gente si prende il lusso di non patchare semplicemente perchè pensa che siccome sono sistemi in una rete interna nessuno li potrà raggiungere per pwnarli malissimo.
Poi comunque quell’exploit lì di ssh è particolarmente complicato. In laboratorio funziona, e questo basta per patcharlo, ma riuscire ad avere un PoC armato affidabile che funzioni sulle varie piattaforme e soprattutto architetture è davvero un casino.
Senza contare che quella race condition è davvero “stretta”.
Infatti il PoC è stato dimostrato su x86, e solo su sistemi dove ASLR è un po’ sloppy sulla randomizzazione dei base address delle libc.
se scriviamo un po’ in inglese mi riposo
non immaginavo che dopo tutti questi anni il mio italiano sarebbe diventato cosi’ brutto. Uso spesso Google Translate perche’ non mi ricordo parole o non sono sicuro della grammatica, e faccio molti errori. Quando mi vedi aggiungere parole in inglese a quello che scrivo in italiano e’ per fare prima
Comunque… che significa memosa? Neanche Google aiuta
inspired by/meant to be a meme
generally something you would expect to read on infosec reactions
ah ok. thx
L’altro ieri è saltato fuori un cliente urlante per sta cve.
Il veder smattare proprio lui che ha 4 server rhel 8.5 e 389632 (o giù di lì) 7.4 era doppiamente ironico.
si, altro modo di ragionare vecchio di chi è fermo a 30 anni fa dell’informatica, la sicurezza moderna non è d’accordo in questo
quando mi rispondono così mi viene voglia di prenderli a testate in faccia e fidatevi che succede più di quanto immaginate…
non so se avevi letto anche questo:
ha fatto 15k $
come dice uno dei commenti sotto:
“Ma non gli costava meno, annullare i codici rubati e rimandarne di nuovi agli acquirenti?”
https://x.com/mysk_co/status/1809184570769650131?s=46
Ma come open source verificabile da tutti e poi saltano fuori queste cose???
Livello microsoft con quel coso che ho già dimenticato il nome AI
Invece il prodotto closed source (iMessage) fa le cose giuste
Cc il mio amico @Kaldais 