Das schlimmste Sicherheitsloch, das Sie gesehen haben? [geschlossen]

Was ist die schlimmste Sicherheitslücke, die Sie jemals gesehen haben? Es ist wahrscheinlich eine gute Idee, die Details zu beschränken, um die Schuldigen zu schützen.

Für das, was es wert ist, hier eine Frage, was zu tun ist, wenn Sie eine Sicherheitslücke finden, und eine andere mit einigen nützlichen Antworten, wenn ein Unternehmen nicht (scheinbar) antwortet.

Aus den Anfängen von Online-Shops:

Erhalten Sie 90% Rabatt, indem Sie .1 in das Mengenfeld des Warenkorbs eingeben. Die Software berechnete die Gesamtkosten ordnungsgemäß als 0,1 * -Kosten, und der Mensch, der die Bestellung verpackte, beschönigte einfach das ungerade "." vor der Menge zu verpacken :)

Die am wenigsten verzeihbare Sicherheitslücke, die leider sehr häufig und leicht zu finden ist, ist Google-Hacking . Ein typisches Beispiel:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

Es ist erstaunlich, wie viele Seiten im Internet, insbesondere Regierungsseiten, eine SQL-Abfrage über die Abfragezeichenfolge übergeben. Es ist die schlechteste Form der SQL-Injection, und es ist überhaupt kein Aufwand erforderlich, um gefährdete Sites zu finden.

Mit geringfügigen Änderungen konnte ich ungeschützte Installationen von phpMyAdmin, ungeschützte Installationen von MySQL, Abfragezeichenfolgen mit Benutzernamen und Kennwörtern usw. finden.

Soziale Entwicklung:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

Von bash.org

Wahre Geschichte aus meinen frühen Tagen bei Microsoft.

Sie haben bis zu dem Tag, an dem Sie aufwachen und die Überschrift auf ZDNet.com an diesem Morgen sehen, keine Angst gekannt. " schlechteste Internet Explorer-Sicherheitsloch, das jemals in" Blah "entdeckt wurde " sehen, in dem "Blah" Code ist, den Sie selbst sechs Monate zuvor geschrieben haben .

Unmittelbar nach der Arbeit überprüfte ich die Änderungsprotokolle und stellte fest, dass jemand in einem anderen Team - jemand, dem wir vertrauten, um Änderungen am Produkt vorzunehmen - meinen Code ausgecheckt und eine Reihe von Einstellungen für den Sicherheitsregistrierungsschlüssel ohne guten Grund geändert hatte. checkte es wieder ein und bekam nie eine Codeüberprüfung oder erzählte jemandem davon. Bis heute habe ich keine Ahnung, was um alles in der Welt er zu tun glaubte; Kurz darauf verließ er die Firma. (Von sich aus.)

(UPDATE: Einige Antworten auf Probleme, die in den Kommentaren angesprochen wurden:

Beachten Sie zunächst, dass ich mich für die gemeinnützige Position entscheide, dass die Änderungen des Sicherheitsschlüssels unbeabsichtigt waren und eher auf Nachlässigkeit oder Unbekanntheit als auf Bosheit beruhen. Ich habe auf die eine oder andere Weise keine Beweise und glaube, dass es ratsam ist, Fehler der menschlichen Fehlbarkeit zuzuschreiben.

Zweitens sind unsere Check-in-Systeme heute viel, viel stärker als vor zwölf Jahren. Beispielsweise ist es jetzt nicht möglich, Code einzuchecken, ohne dass das Einchecksystem die Änderungsliste per E-Mail an interessierte Parteien sendet. Insbesondere Änderungen, die spät im Schiffszyklus vorgenommen werden, sind mit vielen "Prozessen" verbunden, die sicherstellen, dass die richtigen Änderungen vorgenommen werden, um die Stabilität und Sicherheit des Produkts zu gewährleisten.)

Der Fehler bestand jedenfalls darin, dass ein Objekt, das für die Verwendung in Internet Explorer NICHT sicher war, versehentlich als "sicher für Skripte" gekennzeichnet wurde. Das Objekt war in der Lage, Binärdateien - tatsächlich Bibliotheken vom Typ OLE Automation - auf beliebige Speicherorte zu schreiben. Dies bedeutete, dass ein Angreifer eine Typbibliothek erstellen konnte, die bestimmte Zeichenfolgen feindlichen Codes enthielt, sie in einem Pfad speichern konnte, der ein bekannter ausführbarer Speicherort war, ihr die Erweiterung von etwas geben konnte, das die Ausführung eines Skripts verursachen würde, und hoffen konnte, dass der Benutzer dies irgendwie tat würde versehentlich den Code ausführen. Ich kenne keine erfolgreichen "realen" Angriffe, die diese Sicherheitsanfälligkeit nutzten, aber es war möglich, damit einen funktionierenden Exploit zu erstellen.

Wir haben verdammt schnell einen Patch für diesen ausgeliefert, lassen Sie mich Ihnen sagen.

Ich habe viel mehr Sicherheitslücken in JScript verursacht und anschließend behoben, aber keine von ihnen hat jemals annähernd die Publizität erreicht, die man gemacht hat.

Ich hoffe, Sie können hier erkennen, was los ist. (Schrecklich falsch):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

Der letzte Empfänger war der glücklichste;)

Die alten dummen IBM System 36-Terminals hatten eine Tastaturkombination, mit der die Aufzeichnung eines Makros gestartet wurde. Wenn ein Terminal nicht angemeldet war, können Sie die Aufzeichnung eines Makros starten und an dieser Position belassen. Wenn sich das nächste Mal jemand anmeldet, werden die Tastenanschläge im Makro aufgezeichnet und die Aufzeichnung wird automatisch beendet, wenn die maximal zulässigen Tasten aufgezeichnet wurden. Kommen Sie einfach später zurück und spielen Sie das Makro erneut ab, um sich automatisch anzumelden.

Die schlimmste Sicherheitslücke, die ich je gesehen habe, wurde tatsächlich von Ihnen codiert und hat dazu geführt, dass der Google Bot meine gesamte Datenbank gelöscht hat.

Als ich Classic ASP zum ersten Mal lernte, habe ich meine eigene grundlegende Blog-Anwendung codiert. Das Verzeichnis mit allen Administrationsskripten wurde von NTLM auf IIS geschützt. Eines Tages bin ich auf einen neuen Server umgezogen und habe vergessen, das Verzeichnis in IIS erneut zu schützen (oops).

Die Blog-Homepage hatte einen Link zum Haupt-Admin-Bildschirm und der Haupt-Admin-Bildschirm hatte einen DELETE LINK für jeden Datensatz (ohne Bestätigung).

Eines Tages fand ich jeden Datensatz in der Datenbank gelöscht (Hunderte von persönlichen Einträgen). Ich dachte, ein Leser sei in die Site eingebrochen und habe jeden Datensatz böswillig gelöscht.

Ich kam, um aus den Protokollen herauszufinden: Der Google Bot hatte die Site gecrawlt, war dem Admin-Link gefolgt und folgte dann allen DELETE LINKS, wodurch jeder Datensatz in der Datenbank gelöscht wurde. Ich hatte das Gefühl, dass ich die Auszeichnung "Dumbass of the Year" verdient habe, die versehentlich vom Google Bot kompromittiert wurde.

Zum Glück hatte ich Backups.

Das schlimmste Loch, das ich je gesehen habe, war ein Fehler in einer Webanwendung, bei dem Sie sich als Administrator anmelden, wenn Sie einen leeren Benutzernamen und ein leeres Kennwort eingeben :)

Einmal bemerkt dies auf der URL einer Website.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

Durch Ändern des letzten Parameters in admin = 1 erhielt ich Administratorrechte. Wenn Sie den Benutzereingaben blind vertrauen, telegraphieren Sie zumindest nicht, dass Sie dies tun!

Ich habe diesen in The Daily WTF gesehen .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

Nichts kann dieses IMHO schlagen.

An einer Universität, die namenlos bleibt, wurden alle ihre Aktionsabfragen über die URL anstatt über das Formular gesendet.

Das Ding war ein Vergnügen, bis Google Bot kam und alle URLs durchlief und die Datenbank löschte.

Überrascht, dass niemand Social Engineering angesprochen hat, aber ich habe einen Kick aus diesem Artikel bekommen .

Zusammenfassung: Böswillige Benutzer können ein paar Dutzend Flash-Laufwerke kaufen, sie mit einem automatisch ausgeführten Virus oder Trojaner laden und diese Flash-Laufwerke spät in der Nacht auf den Parkplatz eines Unternehmens streuen. Am nächsten Tag kommen alle zur Arbeit, stolpern über die glänzende, bonbonförmige, unwiderstehliche Hardware und sagen sich: "Oh wow, kostenloses Flash-Laufwerk, ich frage mich, was drauf ist!" - 20 Minuten später wird das gesamte Unternehmensnetzwerk abgespritzt.

"Pedo mellon a minno" , "Sprich Freund und tritt ein", vor den Toren von Moria.

Microsoft Bob
(Bildnachweis: Dan's Abandonware aus dem 20. Jahrhundert )

Wenn Sie Ihr Passwort ein drittes Mal falsch eingeben, werden Sie gefragt, ob Sie Ihr Passwort vergessen haben.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

Aber anstatt Sicherheit zu haben, z. B. weiterhin nach dem richtigen Passwort zu fragen, bis es eingegeben wurde, oder Sie nach einer Reihe falscher Versuche zu sperren, können Sie ein neues Passwort eingeben, das das ursprüngliche Passwort ersetzt! Jeder kann dies mit jedem passwortgeschützten Microsoft Bob-Konto tun.

Es ist keine vorherige Authentifizierung erforderlich. Dies bedeutet, dass Benutzer1 sein eigenes Passwort ändern kann, indem er sein Passwort dreimal falsch eingibt und dann das vierte Mal ein neues Passwort eingibt - ohne "Passwort ändern" verwenden zu müssen.

Dies bedeutet auch, dass Benutzer1 die Kennwörter von Benutzer2, Benutzer3 ... genauso ändern kann. Jeder Benutzer kann das Passwort eines anderen Benutzers ändern, indem er es dreimal falsch eingibt und dann bei Aufforderung ein neues Passwort eingibt. Anschließend kann er auf das Konto zugreifen.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

Ich hatte die frühere Privatadresse von Joe X und musste seine neuere aktuelle Adresse in derselben Stadt kennen, hatte aber keine Möglichkeit, ihn zu kontaktieren. Ich nahm an, dass er den üblichen täglichen Stapel von Versandhandelskatalogen erhielt, also rief ich willkürlich die 800-Nummer für See's Candies an (im Gegensatz zu Victoria's Secret, Swiss Colony oder einem anderen großen Mailer):

Ich: "Hallo, ich bin Joe X. Ich glaube, Sie haben mich zweimal auf Ihrer Mailingliste, sowohl unter meiner alten als auch unter meiner neuen Adresse. Zeigt Ihr Computer mich unter [alte Adresse] oder unter [falsche Adresse] an? ? "

Betreiber: "Nein, wir zeigen Ihnen unter [neue Adresse]."

Wenn Sie in einem Textfeld 1 = 1 angeben, werden alle Benutzer im System aufgelistet .

Als Berater für Anwendungssicherheit für den Lebensunterhalt gibt es viele häufig auftretende Probleme, mit denen Sie über etwas auf eine Website zugreifen können. Aber der wirklich coole Teil ist, wenn man Socken im Wert von einer Million Dollar kaufen kann.

Es war ein Freund von mir, der an diesem Gig arbeitete, aber das Wesentliche war, dass die Preise für Artikel in einem bestimmten, jetzt sehr beliebten Online-Buchladen (und allem anderen) im HTML-Code selbst als verstecktes Feld gespeichert wurden. In den frühen Tagen hat dieser Fehler viele Online-Shops gebissen, sie haben gerade erst angefangen, das Web herauszufinden. Sehr wenig Sicherheitsbewusstsein, ich meine wirklich, wer wird den HTML-Code herunterladen, das versteckte Feld bearbeiten und die Bestellung erneut einreichen?

Natürlich haben wir den Preis auf 0 geändert und 1 Million Paar Socken bestellt. Sie können den Preis auch auf negativ ändern, dies hat jedoch dazu geführt, dass ein Teil des Pufferüberlaufs der Backend-Abrechnungssoftware die Transaktion beendet hat.

Wenn ich einen anderen wählen könnte, wären dies Probleme mit der Pfadkanonisierung in Webanwendungen. Es ist wunderbar, foo.com?file=../../../../etc/passwd ausführen zu können

Das Datenbank-Root-Passwort wird versehentlich für die Quellcodeverwaltung festgelegt. Es war ziemlich schlecht, weil es die Quellcodeverwaltung von Sourceforge war.

Das Passwort wurde natürlich sehr schnell geändert.

Keine Änderung der Administratorkennwörter, wenn wichtige IT-Mitarbeiter das Unternehmen verlassen.

Obwohl dies nicht die schlimmste Sicherheitslücke ist, die ich je gesehen habe. Aber das ist zumindest das Schlimmste, das ich selbst entdeckt habe:

Ein ziemlich erfolgreicher Online-Shop für Hörbücher verwendete ein Cookie, um die Identifikationsinformationen des aktuellen Benutzers nach erfolgreicher Authentifizierung zu speichern. Sie können jedoch problemlos die Benutzer-ID im Cookie ändern, auf andere Konten zugreifen und diese kaufen.

Gleich zu Beginn der .com-Ära arbeitete ich für einen großen Einzelhändler in Übersee. Wir haben mit großem Interesse beobachtet, wie unsere Konkurrenten Monate vor uns einen Online-Shop eröffnet haben. Natürlich haben wir es ausprobiert ... und schnell festgestellt, dass unsere Einkaufswagen durcheinander geraten. Nachdem wir ein wenig mit der Abfragezeichenfolge gespielt hatten, stellten wir fest, dass wir die Sitzungen des anderen entführen konnten. Mit gutem Timing können Sie die Lieferadresse ändern, aber die Zahlungsmethode in Ruhe lassen ... alles, nachdem Sie den Warenkorb mit Ihren Lieblingsartikeln gefüllt haben.

Als ich zum ersten Mal in das Unternehmen eintrat, in dem ich derzeit arbeite, sah sich mein Chef die bestehende E-Commerce-Website eines potenziellen Neukunden an. Dies war in den frühen Tagen von IIS und E-Commerce, und die Sicherheit war, sagen wir, weniger als streng.

Um es kurz zu machen, er änderte eine URL (nur aus Neugier) und stellte fest, dass das Durchsuchen von Verzeichnissen nicht deaktiviert war, sodass Sie einfach den Seitennamen am Ende der URL abschneiden und alle Dateien auf der URL anzeigen konnten Webserver.

Am Ende haben wir einen Ordner mit einer Access-Datenbank durchsucht, die wir heruntergeladen haben. Es war die gesamte E-Commerce-Kunden- / Bestelldatenbank mit mehreren tausend unverschlüsselten Kreditkartennummern.

Leute , die ihre Passwörter auf öffentlichen Websites veröffentlichen ...

Als ich 13 Jahre alt war, eröffnete meine Schule ein soziales Netzwerk für die Schüler. Leider habe ich einen Sicherheitsfehler gefunden, bei dem Sie den URI in eine andere Benutzer-ID wie "? UserID = 123" ändern und sich für diesen Benutzer anmelden konnten. Offensichtlich erzählte ich es meinen Freunden und am Ende war das soziale Netzwerk der Schule mit Pornos gefüllt.

Würde es aber nicht empfehlen.

Ich denke, das leere Feld für Benutzername / Passwort für den Superuser-Zugriff ist bei weitem das schlechteste. Aber eine, die ich selbst gesehen habe, war

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

Schade, dass ein Bediener einen so großen Unterschied macht.

Meins wäre für eine Bank, bei der ich Kunde war. Ich konnte mich nicht anmelden und rief den Kundendienst an. Sie fragten mich nach meinem Benutzernamen und sonst nichts - stellten keine Sicherheitsfragen und versuchten nicht, meine Identität zu überprüfen. Anstatt ein zurückgesetztes Passwort an die hinterlegte E-Mail-Adresse zu senden, fragten sie mich, an welche E-Mail-Adresse ich es senden soll. Ich gab ihnen eine andere Adresse als die, die ich gespeichert hatte, und konnte mein Passwort zurücksetzen.

Im Grunde genommen würde ein Hacker nur meinen Benutzernamen benötigen, und er könnte dann auf mein Konto zugreifen. Dies war für eine große Bank, von der mindestens 90% der Menschen in den Vereinigten Staaten gehört hätten. Dies geschah vor ungefähr zwei Jahren. Ich weiß nicht, ob es sich um einen schlecht ausgebildeten Kundendienstmitarbeiter handelte oder ob dies ein Standardverfahren war.

Ich werde eine teilen, die ich erstellt habe. So'ne Art.

Vor Jahren und Jahren und Jahren wollte das Unternehmen, für das ich arbeitete, eine Indexierung auf seiner ASP-Website. Also habe ich Index Server eingerichtet, ein paar Admin-Verzeichnisse ausgeschlossen und alles war gut.

Obwohl mir unbekannt war, hatte jemand einem Verkäufer FTP-Zugriff auf den Webserver gewährt, damit er von zu Hause aus arbeiten konnte. Dies waren die Tage der Einwahl und es war der einfachste Weg für ihn, Dateien auszutauschen ... und er begann, Dinge hochzuladen. einschließlich Dokumente, in denen das Markup für unsere Dienste aufgeführt ist .... der Indexserver hat indiziert und wird bereitgestellt, wenn Personen nach "Kosten" suchen.

Denken Sie daran, Kinder, Whitelists nicht Blacklists.

Eine der einfachsten und dennoch kostengünstigen ist:

Zahlungssysteme, die Motoren wie verwenden PayPal verwenden können fehlerhaft sein, da die Antwort von PayPal nach erfolgreicher Zahlung nicht ordnungsgemäß überprüft wird.

Zum Beispiel:

Ich kann auf eine CD-Kauf-Website gehen und Inhalte in den Warenkorb legen. Während der Kaufabwicklung befindet sich normalerweise ein Formular auf der Seite, das mit Feldern für Paypal gefüllt ist, und eine Schaltfläche zum Senden an "Bezahlen".

Mit einem DOM-Editor kann ich in das Formular "live" gehen und den Wert von ändern £899.00 auf£0.01 und dann auf Senden klicken ...

Wenn ich auf der PayPal-Seite bin, kann ich sehen, dass der Betrag 1 Cent beträgt, also bezahle ich das und PayPal leitet einige Parameter an die erste Kaufseite weiter, die nur Parameter wie überprüft payment_status=1 usw. usw. und dies nicht tut Überprüfen Sie den gezahlten Betrag.

Dies kann kostspielig sein, wenn keine ausreichende Anmeldung vorhanden ist oder Produkte automatisch versendet werden.

Die schlechteste Art von Websites sind Websites, die Anwendungen, Software, Musik usw. bereitstellen.

Wie wäre es mit einem Online-Dokumentenmanager, mit dem jede Sicherheitsberechtigung festgelegt werden konnte, an die Sie sich erinnern konnten ...

Bis Sie zur Download-Seite gelangen ... download.aspx? DocumentId = 12345

Ja, die documentId war die Datenbank-ID (Auto-Inkrement), und Sie konnten jede einzelne Nummer in einer Schleife ausführen und jeder konnte alle Unternehmensdokumente abrufen.

Als ich auf dieses Problem aufmerksam gemacht wurde, lautete die Antwort des Projektmanagers: Ok, danke. Aber das hat noch niemand bemerkt, also lassen wir es so, wie es ist.

Eine norwegische Pizzalieferung hatte eine Sicherheitslücke, in der Sie negative Mengen Pizzen über das neue und glänzende Internetportal bestellen und kostenlos erhalten konnten.