Pior falha de segurança que você já viu? [fechadas]

Qual é a pior falha de segurança que você já viu? Provavelmente, é uma boa idéia manter os detalhes limitados para proteger os culpados.

Quanto vale a pena, aqui está uma pergunta sobre o que fazer se você encontrar uma falha de segurança e outra com algumas respostas úteis se uma empresa (aparentemente) não responder.

Desde os primeiros dias das lojas online:

Para obter um desconto de 90%, digite 0,1 no campo de quantidade do carrinho de compras. O software calculou adequadamente o custo total como 0,1 *, e o humano que embalou o pedido simplesmente encobriu o ímpar "." na frente da quantidade para embalar :)

A falha de segurança menos perdoável e, infelizmente, muito comum e fácil de encontrar, é a invasão do Google . Caso em questão:

http://www.google.com/search?q=inurl%3Aselect+inurl%3A%2520+inurl%3Afrom+inurl%3Awhere

É incrível quantas páginas na Internet, sites do governo em particular, passam uma consulta SQL pela string de consulta. É a pior forma de injeção de SQL e não é necessário nenhum esforço para encontrar sites vulneráveis.

Com pequenos ajustes, consegui encontrar instalações desprotegidas do phpMyAdmin, instalações desprotegidas do MySQL, cadeias de consulta contendo nomes de usuário e senhas, etc.

Engenharia social:

<Cthon98> hey, if you type in your pw, it will show as stars
<Cthon98> ********* see!
<AzureDiamond> hunter2
<AzureDiamond> doesnt look like stars to me
<Cthon98> <AzureDiamond> *******
<Cthon98> thats what I see
<AzureDiamond> oh, really?
<Cthon98> Absolutely
<AzureDiamond> you can go hunter2 my hunter2-ing hunter2
<AzureDiamond> haha, does that look funny to you?
<Cthon98> lol, yes. See, when YOU type hunter2, it shows to us as *******
<AzureDiamond> thats neat, I didnt know IRC did that
<Cthon98> yep, no matter how many times you type hunter2, it will show to us as *******
<AzureDiamond> awesome!
<AzureDiamond> wait, how do you know my pw?
<Cthon98> er, I just copy pasted YOUR ******'s and it appears to YOU as hunter2 cause its your pw
<AzureDiamond> oh, ok.

From bash.org

História verdadeira dos meus primeiros dias na Microsoft.

Você não conhece o medo até o dia em que acorda e vê a manchete no ZDNet.com naquela manhã: "O pior buraco de segurança do Internet Explorer já foi descoberto em 'Blah' ", onde 'Blah' é o código que você escreveu seis meses antes .

Imediatamente após o trabalho, verifiquei os logs de alterações e descobri que alguém de outra equipe - alguém em quem confiávamos para fazer alterações no produto - havia retirado o meu código, alterado várias configurações da chave de registro de segurança sem um bom motivo, fez o check-in novamente e nunca recebeu uma revisão de código nem contou a ninguém sobre isso. Até hoje não tenho idéia do que ele pensava estar fazendo; ele deixou a empresa logo depois. (Por sua própria vontade.)

(ATUALIZAÇÃO: Algumas respostas a questões levantadas nos comentários:

Primeiro, observe que escolho assumir a posição de caridade de que as alterações na chave de segurança foram não intencionais e baseadas em descuido ou desconhecimento, em vez de malícia. Não tenho evidências de um jeito ou de outro e acredito que é sensato atribuir erros à falibilidade humana.

Segundo, nossos sistemas de check-in são muito, muito mais fortes agora do que há doze anos atrás. Por exemplo, agora não é possível fazer o check-in do código sem que o sistema de check-in envie a lista de alterações por email para as partes interessadas. Em particular, as alterações feitas no final do ciclo do navio têm muito "processo" em torno delas, o que garante que as alterações corretas sejam feitas para garantir a estabilidade e a segurança do produto.)

De qualquer forma, o problema era que um objeto que NÃO era seguro para ser usado no Internet Explorer havia sido acidentalmente lançado como marcado como "seguro para scripts". O objeto foi capaz de gravar arquivos binários - bibliotecas do tipo OLE Automation, de fato - em locais arbitrários do disco. Isso significava que um invasor podia criar uma biblioteca de tipos que continha determinadas seqüências de códigos hostis, salvá-la em um caminho que era um local executável conhecido, dar a extensão de algo que faria com que um script fosse executado e esperar que, de alguma forma, o usuário acidentalmente executaria o código. Não conheço ataques bem-sucedidos do "mundo real" que usem essa vulnerabilidade, mas foi possível criar uma exploração funcional com ela.

Enviamos um patch rapidamente para esse, deixe-me dizer.

Causei e, posteriormente, consertei muitas outras falhas de segurança no JScript, mas nenhuma delas chegou nem perto da publicidade que se fez.

Espero que você consiga identificar o que há de errado aqui. (Terrivelmente errado, de fato):

String emailBody = "";

for (int i = 0; i < subscribers.Count; i++)
{
    emailBody += "Hello " + subscribers[i].FirstName + ",";
    emailBody += "this is a reminder with your account information: \n\n:";
    emailBody += "Your username: " + subscribers[i].Username + "\n";
    emailBody += "Your password: " + subscribers[i].Password + "\n";
    emailBody += "Have a great day!";

    emailDispatcher.Send(subscribers[i].EmailAddress, emailBody);
}

O último destinatário foi o mais feliz;)

Os antigos terminais burros do IBM System 36 tinham uma combinação de teclado que iniciava a gravação de uma macro. Portanto, quando um terminal não estava conectado, você poderia iniciar a gravação de uma macro e deixá-la nessa posição. Na próxima vez que alguém fizer login, as teclas serão gravadas na macro e a gravação terminará automaticamente quando o número máximo de teclas permitido for gravado. Volte mais tarde e reproduza a macro para fazer login automaticamente.

A pior falha de segurança que eu já vi foi realmente codificada pela sua e fez com que o Google Bot excluísse meu banco de dados inteiro.

Quando eu aprendi o ASP clássico pela primeira vez, codifiquei meu próprio aplicativo básico de blog. O diretório com todos os scripts administrativos foi protegido pelo NTLM no IIS. Um dia, mudei para um novo servidor e esqueci de proteger novamente o diretório no IIS (oops).

A página inicial do blog tinha um link para a tela principal do administrador, e a tela principal do administrador tinha um DELETE LINK para cada registro (sem confirmação).

Um dia, encontrei todos os registros excluídos do banco de dados (centenas de entradas pessoais). Eu pensei que algum leitor havia invadido o site e excluído maliciosamente todos os registros.

Eu descobri pelos registros: o Google Bot rastreara o site, seguia o link do administrador e seguia todos os DELETE LINKS, excluindo todos os registros do banco de dados. Eu senti que merecia o prêmio Dumbass do ano sendo inadvertidamente comprometido pelo Bot do Google.

Felizmente eu tive backups.

O pior buraco que eu já vi foi um bug em um aplicativo da Web, onde fornecer um nome de usuário e senha vazios faria o login como administrador :)

Uma vez percebido isso no URL de um site.

http://www.somewebsite.com/mypage.asp?param1=x&param2=y&admin=0

Alterar o último parâmetro para admin = 1 me deu privilégios de administrador. Se você vai confiar cegamente na entrada do usuário, pelo menos, não diga que está fazendo isso!

Eu vi esse no The Daily WTF .

<script language="javascript">
<!--//
/*This Script allows people to enter by using a form that asks for a
UserID and Password*/
function pasuser(form) {
    if (form.id.value=="buyers") { 
        if (form.pass.value=="gov1996") {              
            location="http://officers.federalsuppliers.com/agents.html" 
        } else {
            alert("Invalid Password")
        }
    } else {  
        alert("Invalid UserID")
    }
}
//-->
</script>

Nada pode vencer este IMHO.

Em uma universidade, que permanecerá sem nome, eles tiveram todas as suas consultas de ação sendo passadas pelo URL em vez de postadas no formulário.

A coisa funcionou bem até que o Google Bot apareceu e percorreu todos os URLs e limpou o banco de dados.

Surpreendido que ninguém tenha trazido à tona a engenharia social, mas tive um gostinho deste artigo .

Resumo: usuários mal-intencionados podem comprar algumas dúzias de pen drives, carregá-los com um vírus ou cavalo de Troia auto-executado e depois borrifá-los no estacionamento de uma empresa tarde da noite. No dia seguinte, todo mundo aparece para trabalhar, tropeça no hardware irresistível e brilhante, em forma de doce, e diz para si mesmo "oh uau, unidade flash gratuita, eu me pergunto o que há nela!" - 20 minutos depois, toda a rede da empresa é conectada.

"Pedo mellon a minno" , "Fale amigo e entre", nos portões de Moria.

Microsoft Bob
(Crédito: Dan's 20th Century Abandonware )

Se você digitar sua senha incorretamente pela terceira vez, será perguntado se você esqueceu sua senha.

http://img132.yfrog.com/img132/8397/msbob10asignin15.gif

Mas, em vez de ter segurança, continue solicitando a senha correta até que ela seja inserida ou bloqueando você após várias tentativas incorretas, você pode inserir qualquer nova senha e ela substituirá a original! Qualquer pessoa pode fazer isso com qualquer conta Microsoft Bob "protegida" por senha.

Não há autenticação prévia necessária. Isso significa que o usuário1 pode alterar sua própria senha digitando sua senha três vezes e digitando uma nova senha pela quarta vez - sem precisar usar "alterar senha".

Isso também significa que o Usuário1 pode alterar as senhas do Usuário2, Usuário3 ... exatamente da mesma maneira. Qualquer usuário pode alterar a senha de qualquer outro usuário digitando incorretamente três vezes e digitando uma nova senha quando solicitado - e então pode acessar a conta.

http://img132.yfrog.com/img132/9851/msbob10asignin16.gif

Eu tinha o antigo endereço residencial de Joe X e precisava conhecer seu endereço atual mais recente na mesma cidade, mas não tinha como entrar em contato com ele. Achei que ele estava recebendo a pilha diária usual de catálogos de pedidos por correspondência, então liguei arbitrariamente para o número 800 dos doces da See (em oposição à Victoria's Secret, ou Swiss Colony, ou qualquer outra grande mala direta):

Eu: "Olá, sou Joe X. Acho que você me colocou na sua lista de e-mails duas vezes, tanto no meu endereço antigo quanto no meu novo endereço. Seu computador me mostra em [endereço antigo] ou [endereço falso] ? "

Operador: "Não, mostramos a você em [novo endereço]."

Dar 1 = 1 em uma caixa de texto lista todos os usuários do sistema.

Sendo um consultor de segurança de aplicativos para a vida, existem muitos problemas comuns que permitem obter a administração de um site por meio de algo. Mas a parte mais legal é quando você pode comprar um milhão de dólares em meias.

Era um amigo meu trabalhando nesse show, mas o ponto principal era que os preços de itens em uma determinada loja on-line agora muito popular (e tudo mais) eram armazenados no próprio HTML como um campo oculto. Nos primeiros dias, esse bug mordeu muitas lojas on-line, elas estavam apenas começando a descobrir a web. Muito pouca conscientização de segurança, quero dizer quem realmente fará o download do HTML, editar o campo oculto e reenviar o pedido?

Naturalmente, alteramos o preço para 0 e encomendamos 1 milhão de pares de meias. Você também pode alterar o preço para negativo, mas isso fez com que parte do estouro de buffer do software de cobrança de back-end terminasse a transação.

Se eu pudesse escolher outra, haveria problemas de canonização de caminho em aplicativos da web. É maravilhoso poder fazer foo.com?file=../../../../etc/passwd

Confirmando a senha raiz do banco de dados no controle de origem por acidente. Foi muito ruim, porque era o controle de origem no Sourceforge.

Escusado será dizer que a senha foi alterada muito rapidamente.

Não alterar senhas de administrador quando os principais funcionários de TI deixarem a empresa.

Embora este não seja o pior buraco de segurança que eu já vi. Mas isso é pelo menos o pior que eu me descobri:

Uma loja on-line bastante bem-sucedida de audiolivros usou um cookie para armazenar as informações de identificação do usuário atual após a autenticação bem-sucedida. Mas você pode alterar facilmente o ID do usuário no cookie, acessar outras contas e comprar nelas.

Logo no início da era .com, eu trabalhava para um grande varejista no exterior. Observamos com grande interesse nossos concorrentes lançarem uma loja on-line meses antes de nós. É claro que fomos testá-lo ... e rapidamente percebemos que nossos carrinhos de compras estavam se misturando. Depois de brincar um pouco com a string de consulta, percebemos que poderíamos seqüestrar as sessões um do outro. Com um bom timing, você pode alterar o endereço de entrega, mas deixar o método de pagamento em paz ... tudo isso depois de ter enchido o carrinho com seus itens favoritos.

Quando entrei na empresa em que trabalho atualmente, meu chefe estava olhando o site de comércio eletrônico existente de um possível novo cliente. Isso ocorreu nos primeiros dias do IIS e do comércio eletrônico, e a segurança foi, digamos, menos que rigorosa.

Para encurtar a história, ele alterou um URL (por curiosidade) e percebeu que a navegação no diretório não estava desativada; portanto, você pode cortar o nome da página no final do URL e ver todos os arquivos no servidor web.

Acabamos navegando em uma pasta contendo um banco de dados do Access, que baixamos. Era todo o banco de dados de clientes / pedidos de comércio eletrônico, repleto de vários milhares de números de cartão de crédito não criptografados.

Pessoas postando suas senhas em sites públicos ...

Quando eu tinha 13 anos, minha escola abriu uma rede social para os alunos. Infelizmente para eles, encontrei um bug de segurança em que você poderia alterar o URI para outro ID do usuário como "? UserID = 123" e se conectar ao usuário. Obviamente contei aos meus amigos e, no final, a rede social da escola estava cheia de pornografia.

Não recomendaria embora.

Eu acho que o campo de nome de usuário / senha em branco para acesso de superusuário é de longe o pior. Mas um que eu me vi era

if (password.equals(requestpassword) || username.equals(requestusername))
{
    login = true;
}

Pena que um operador faz uma diferença tão grande.

O meu seria para um banco do qual eu era cliente. Como não consegui fazer logon, liguei para o atendimento ao cliente. Eles me pediram meu nome de usuário e nada mais - não fizeram perguntas de segurança ou tentaram verificar minha identidade. Em vez de enviar uma redefinição de senha para o endereço de e-mail que eles tinham no arquivo, eles me perguntaram para qual endereço de e-mail enviar. Eu dei a eles um endereço diferente do que eu tinha no arquivo e consegui redefinir minha senha.

Então, basicamente, tudo que um hacker precisa é do meu nome de usuário e ele pode acessar minha conta. Isso era para um grande banco do qual pelo menos 90% das pessoas nos Estados Unidos teriam ouvido falar. Isso aconteceu cerca de dois anos atrás. Não sei se era um representante de atendimento ao cliente mal treinado ou se esse era o procedimento padrão.

Vou compartilhar um que eu criei. Mais ou menos.

Anos e anos e anos atrás, a empresa para a qual eu trabalhava procurava a indexação em seu site ASP. Então, lá fui eu configurar o Index Server, excluir alguns diretórios de administração e tudo estava bem.

Por mais desconhecido que alguém tivesse dado a um vendedor o acesso ftp ao servidor da Web para que ele pudesse trabalhar em casa, eram os dias da conexão discada e era a maneira mais fácil de trocar arquivos ... e ele começou a fazer o upload de coisas, incluindo documentos detalhando a marcação em nossos serviços .... qual servidor de indexação indexou e começou a ser exibido quando as pessoas pesquisavam "Custos".

Lembre-se de crianças, listas brancas e não listas negras.

Um dos mais simples, mas realmente valiosos, é:

Os sistemas de pagamento que usam mecanismos como o PayPal podem ser falhos porque a resposta do PayPal após o pagamento ter sido bem-sucedido não é verificada como deveria.

Por exemplo:

Posso acessar um site de compra de CD e adicionar algum conteúdo ao carrinho. Depois, durante as etapas de pagamento, geralmente há um formulário na página preenchido com campos para paypal e um botão de envio para "Pagar".

Usando um editor DOM, posso entrar no formulário "ao vivo" e alterar o valor de £899.00para £0.01e clicar em enviar ...

Quando estou do lado do PayPal, vejo que o valor é de 1 centavo, então pago e o PayPal redireciona alguns parâmetros para o site de compra inicial, que apenas valida parâmetros como payment_status=1, etc., etc. e não validar o valor pago.

Isso pode ser caro se eles não tiverem registro suficiente no local ou os produtos forem despachados automaticamente.

O pior tipo de site são sites que fornecem aplicativos, software, música etc.

Que tal um gerenciador de documentos on-line, que permite definir todas as permissões de segurança que você lembra?

Isso é até você chegar na página de download ... download.aspx? DocumentId = 12345

Sim, o documentId era o ID do banco de dados (incremento automático) e você poderia fazer um loop em cada número e qualquer pessoa poderia obter todos os documentos da empresa.

Quando alertado para esse problema, a resposta do gerente de projeto foi: Ok, obrigado. Mas ninguém notou isso antes, então vamos mantê-lo como está.

Uma entrega de pizza norueguesa tinha uma brecha na segurança, onde você podia pedir quantidades negativas de pizzas em seu novo e brilhante portal de internet e obtê-las gratuitamente.