$ 13,000通过扫描和利用攻击方法赚钱
安全研究员伊恩·卡罗尔(Ian Carroll)解释了他如何利用过时的Apache气流实例找到一系列漏洞,并收集更多13,000美元错误赏金支出。
Apache气流提供一个用于执行工作流程的系统,例如“在数据源之间复制和转换数据”。该技术固有地具有连接到内部数据库和其他系统的基于Web的接口。beplay体育能用吗
卡洛尔怀疑这是一种提供广泛攻击表面的建筑,这是一个工作的假设,证明不仅是先见之明,如详细的技术所述写上去。
安全研究人员自动扫描过时的Apache气流实例CVE-2020-17526脆弱性。
气流的Web界面依赖beplay体育能用吗烧瓶的无状态,签名的cookie来处理身份验证数据。出现缺陷,因为气流捆绑了一个默认签名密钥temorary_key。
使用烧瓶 - 非共同工具,攻击者可以浏览气流实例的登录页面,并在测试安装是否脆弱之前捕获未经身份验证的cookie。
“ SQLI作为服务”
通过在捕获的cookie中锻造user_id属性,可以作为管理员姿势,打开各种漏洞利用的门。一方面,AWS,付款处理器和数据库的密钥通常会暴露于脆弱气流实例的Web UI。beplay体育能用吗
Carroll表示:“即使您无法直接阅读其凭据,您也许可以针对连接的数据源执行'临时查询'。”“ SQLI作为服务!”
卡洛尔能够使用此过程来确定运输公司基础设施中的关键漏洞,并在此过程中获得了4,500美元的赏金。后来,他发现了其他类似脆弱的气流装置,在Hackerone和Bugcrowd Bug Bounty计划下,他总共赚了13,000美元。
研究人员指出:“更聪明的公司迅速将气流置于代理之后OAuth2-Proxy或Duo Network网关,这是针对应用程序级别的身份验证问题的有力辩护。我高度劝阻直接将气流暴露到互联网上。”
该过程使他能够在许多Bounty计划中发现一些关键问题。
利用他获得的知识,卡洛尔继续发现了在建立自己的本地环境后,Apache气流中的严重性较低。
CVE-2021-26559 - 卡罗尔发现的两个缺陷中最严重的是特权高程缺陷,涉及滥用捕获的签名钥匙。
所有讨论的漏洞都通过该平台的最新版本解决了。敦促企业更新为v1.10.15或v2.0.2,这是一个潜在的升级,对于那些内部运行气流的人尤为重要。
