В ChatGPT был найден Account Takeover, который позволял увести сессию у пользователя с помощью перехода по безобидной, на первый взгляд, ссылке.

Как это работало: после авторизации, на сайте делается GET-запрос, который отдает метаинфу об аккаунте, вроде имени, емейла и других данных, включая JWT-токен.

Это запрос к API, поэтому он не кэшируется. Но мы можем попытаться обмануть балансер, сказав ему, что это не API, а статический ресурс (например, файл стилей) и попросить его закэшировать ответ.

https://chat.openai.com/api/auth/session => CF-Cache-Status: DYNAMIC (не кэширует)
https://chat.openai.com/api/auth/session/test.css => CF-Cache-Status: HIT (кэширует)

Обе эти ссылки отдают метаинфу об аккаунте, просто во втором случае балансер откидывает правую часть /test.css и роутит запрос (не выдавая ошибки) на /api/auth/session/, при этом думая, что это по прежнему файл стилей и поэтому кэширует его, в отличие от первого варианта.

Это опасно тем, что после того, как авторизированный пользователь перешел по ссылке, злоумышленник может следом зайти по ней и увидеть закэшированный JWT-токен жертвы.

Работает это не всегда и иногда нужно поиграться с расширениями (полный список для Cloudflare можно посмотреть тут), либо просто воспользоваться готовым плагином для эксплуатации Web Cache Deception - атаки, которую я и описал в этом посте https://github.com/SpiderLabs/Airachnid-Burp-Extension.

В MSSQL есть незадокументированная фича, которая может помочь при пентесте.

";" - символ, который мы привыкли использовать для разделения нескольких запросов в SQL-синтаксисе (если речь не идет о subquery).

И какой-нибудь PostgreSQL или MySQL запнется о конструкции, вроде

SELECT 'A' SELECT 'B' SELECT 'C'
SELECT * FROM test WHERE id = 1 WAITFOR DELAY '0:0:5'

и поругается, что мы нарушили синтаксис, не указав нужный терминатор. Так как он ожидает, что мы разделим эти запросы точкой с запятой.

Но MSSQL выполнит их без ошибок. Более того, он позволит построить и более сложные конструкции.

Пример создания таблицы, записи в нее данных, селекта и удаления без разделителей:

use[tempdb]create/**/table[test]([id]int)insert[test]values(1)select[id]from[test]drop/**/table[test].

или еще один пример с изменением конфигурации, чтобы можно было выполнять xp_cmdshell.

admin'exec('sp_configure''show advanced option'',''1''reconfigure')exec('sp_configure''xp_cmdshell'',''1''reconfigure')--

Это полезно тем, что некоторые WAF могут увидеть такие строки, посчитать их безопасными и пропустить запросы. Например, AWS WAF, в который и был сдан такой баг.

awesome-linux-rootkits: https://github.com/milabs/awesome-linux-rootkits

#linux #rootkits

Какой бизнес сегодня больше всего страдает от киберугроз — крупный, средний или малый?

Для больших компаний цена успешной атаки — это репутация, а для маленьких — это выживание. Чтобы увести у микробизнеса базу клиентов, достаточно одной атаки.

Поэтому у маленьких компаний один путь — выбрать наиболее критичный актив (та же база клиентов или, например, сайт) и обратиться к сервис-провайдеру, чтобы он обеспечил его защиту.

Ответы на эти и другие вопросы, связанные с ИБ, вы можете найти в моем новом интервью для РБК.

ⓒ https://t.me/naumovaevgeniya