09.01.2018 | 19:12

Przemysław Sierociński

Poniedziałek z trenerem – jak można było przejąć dowolne konto VirusTotal

Stary rosyjski kawał mówi, że jeżeli budzisz się w poniedziałek bez kaca, to znaczy, że jest wtorek. U nas takiej imprezy nie było, ale i tak publikacja nowego odcinka naszego cyklu opóźniła się o jeden dzień.

Po świąteczno-noworocznej przerwie witamy w kolejnym odcinku Poniedziałku z Trenerem. Czy strona skoncentrowany na bezpieczeństwie i prowadzona przez Google może być ofiarą prostego ataku? Dzisiaj omówimy przykład błędu w VirusTotal, niezwykle przydatnym serwisie związanym z bezpieczeństwem. Oprócz wysyłania próbek do analizy bardzo cenną (i to dosłownie, bo większość użytkowników musi za nią płacić sporą sumę) opcją jest możliwość pobierania plików przeznaczonych do analizy. Opisywany poniżej błąd pozwalał na przejęcie kontroli nad dowolnym kontem użytkownika, również tymi premium.

W poprzednich odcinkach

We wcześniejszych wpisach cyklu Poniedziałek z trenerem:

Prosty atak

NotHumanNinja od zawsze marzył o dostaniu się do Google Hall Of Fame. Pracę rozpoczął od przeszukania domen należących do informatycznego giganta, w tym celu wykorzystał narzędzie Sublist3r. Dodał do tego informację o domenach w posiadaniu Google dostępne publicznie w sieci i uwagę swoją skupił właśnie na serwisie VirusTotal.

Po założeniu konta w serwisie i przeklikaniu przez wszystkie funkcje okazało się, że nie jest łatwo odkryć trywialną lukę. Przynajmniej na pierwszy rzut oka. Potrzebna była krótka przerwa na zebranie sił, po której okazało się, że badacz zapomniał, jakie hasło do konta ustawił. Była to dobra okazja to tego, by bliżej przyjrzeć się mechanizmowi resetu hasła.

Po wypełnieniu formularza standardowo otrzymał e-mail z odnośnikiem pozwalającym odzyskać dostęp. Odwiedził go i przy pomocy proxy (prawdopodobnie Burp Suite) zatrzymał żądanie przeglądarki. Po pobieżnej obserwacji dokończył proces, choć jego uwagę zwróciła nazwa użytkownika w adresie URL. Szybko zainicjował reset hasła na drugim koncie, które posiadał i odwiedził przesłany odnośnik. Tym razem jednak podmienił nazwę użytkownika na tę z pierwszego konta przed wysłaniem żądania do serwera.

Tak, to wystarczyło. Hasło zostało zmienione na koncie innym, niż to, dla którego został rozpoczęty proces odzyskiwania. Po potwierdzeniu, że możliwe jest zalogowanie na konto pierwsze przy pomocy nowo wybranego hasła, NotHumanNinja zgłosił błąd i otrzymał nagrodę pieniężną oraz swój upragniony wpis do listy sławy.

Jest to kolejny przykład na to, że trywialne błędy nie omijają nawet największych, włączając podmioty profesjonalnie zajmujące się bezpieczeństwem. Jeśli chcesz dowiedzieć się, na co zwrócić uwagę w trakcie tworzenia aplikacji by uniknąć analogicznych problemów, zapraszamy na nasze szkolenie.

Szkolenie z bezpieczeństwa aplikacji WWW

Bezpieczeństwo aplikacji WWW - atak i obrona

Wroclaw
Wrocław, 10 – 12 stycznia 2018

Warsaw-center-free-license-CC0
Warszawa, 19 – 21 lutego 2018

Czas trwania: 3 dni (20h), Prowadzący: Adam z z3s, Przemysław Sierociński
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia
Powrót

Komentarze

  • 2018.01.09 22:25 Art

    Czyli że co, token nie był brany pod uwagę?

    Odpowiedz
    • 2018.01.10 08:48 pl

      Token pewnie był sprawdzany, ale para login + token już nie.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Poniedziałek z trenerem – jak można było przejąć dowolne konto VirusTotal

Komentarze