NFsec Logo

Podgląd linków – some kind of monster #1

Wczoraj w Bezpieczeństwo Możliwość komentowania Podgląd linków – some kind of monster #1 została wyłączona

P

odgląd linków (ang. link previews) został zaimplementowany w wielu (web)aplikacjach służących do czatowania i komunikacji – Discord, Facebook, Twitter, LinkedIn, Signal, Slack itd. Każdy nowy lub stary komunikator stara implementować się tą funkcjonalność w swoich produktach. Jeśli ta funkcja nie zostanie wykonana prawidłowo, może prowadzić do różnego rodzaju problemów np. wyciekania adresów IP, ujawnianie odnośników w szyfrowanych rozmowach, czy niepotrzebne pobieranie gigabajtów danych w tyle. Talal Haj Bakry oraz Tommy Mysk przeprowadzili badanie pokazujące, że ta prosta funkcja może stwarzać zagrożenie dla prywatności i bezpieczeństwa.
[ czytaj całość… ]

F5 powiedz przecie kto ma adres wewnętrzny na świecie?

19/10/2016 w Pen Test Możliwość komentowania F5 powiedz przecie kto ma adres wewnętrzny na świecie? została wyłączona

S

pójrzmy na poniższy nagłówek HTTP przechodzący przez urządzenie BIG-IP firmy F5 Networks zawierający ciasteczko powodujące przywiązanie klienta do jednego serwera z backendu:

HTTP/1.1 403 Forbidden
Date: Mon, 17 Oct 2016 07:56:53 GMT
Server: Apache
Content-Type: text/html; charset=iso-8859-1
Set-Cookie: BIGipServerCRM-entryhttps_WAF-Pool=872768522.15168.0000; path=/
Transfer-Encoding: chunked

Zamieńmy liczbę 872768522 na wartość heksadecymalną: 3405640A, rozbijmy ją od tyłu na bloki i ponownie wróćmy do wartości decymalnych:

0A = 10
64 = 100
05 = 5
34 = 52

Hmm… czyżby właście wyciekła informacja o wewnętrznym adresie serwera 10.100.5.52? Zróbmy analogiczną konwersję z liczbą 15168 (3B40), która pewnie oznacza port do komunikacji:

403B = 16443

Finalnie otrzymujemy: 10.100.5.52:16443. Dość ciekawą informacją jest fakt, że samo F5 Networks ujawnia, jak zaszyfrować i rozszyfrować takie dość nieprzemyślane ciasteczko.

Więcej informacji: Overview of BIG-IP persistence cookie encoding