你好居住者!“要学习一些东西,您需要在实践中运用知识。这就是我们学习黑客技巧的方式。”-HackerOne的联合创始人Michael Prince和Jobert Abma。Bug陷阱向您介绍了白帽黑客技术-搜索安全漏洞。无论您是想使互联网更安全的网络安全新手,还是想编写安全代码的经验丰富的开发人员,Peter Jaworski都将向您展示如何。
该书涵盖了常见的错误类型以及来自Twitter,Facebook,Google,Uber和Starbucks等公司的真实黑客报告。从这些报告中,您将了解漏洞如何工作以及如何使自己的应用程序更安全。
您将学习:
- 互联网如何运作并学习网络黑客的基本概念;
- 网络罪犯如何侵入网站;
- 伪造请求如何迫使用户向其他网站提交信息;
- 如何访问另一个用户的数据;
- 从哪里开始寻找漏洞;
- 如何让网站使用虚假请求披露信息。
这本书是给谁的?
这本书是为新手黑客编写的。他们可以是Web开发人员,Web设计师,
休产假的父母,学童,退休人员等。当然,编程经验和对Web技术的一般理解将很有用,但并不是黑客的先决条件。
编程技能可以使查找编程逻辑中的漏洞变得更加容易。如果您可以专心于程序员或阅读他们的代码(如果有),那么成功的机会将会更高。
这本书是关于什么的
:
1. . , . : HTTP-, HTTP.
2. Open Redirect. , .
3. HTTP-. HTTP- .
4. . , - HTTP-, .
5. HTML . , HTML- - .
6. . HTTP-, , .
7. . , JavaScript- , .
8. . , . .
9. SQL. , .
10. . , .
11. XML-. , , XML- .
12. . .
13. . , , , .
14. . , .
15. . , , .
16. . , , .
17. OAuth. , , .
18. . , .
19. . , , . .
20. . , , .
. . , , -, , ..
. . (-, , ..
1. . , . : HTTP-, HTTP.
2. Open Redirect. , .
3. HTTP-. HTTP- .
4. . , - HTTP-, .
5. HTML . , HTML- - .
6. . HTTP-, , .
7. . , JavaScript- , .
8. . , . .
9. SQL. , .
10. . , .
11. XML-. , , XML- .
12. . .
13. . , , , .
14. . , .
15. . , , .
16. . , , .
17. OAuth. , , .
18. . , .
19. . , , . .
20. . , , .
. . , , -, , ..
. . (-, , ..
14捕获子域
劫持子域可使攻击者分发自己的内容或拦截他人站点上的流量。
域名
域是访问网站的URL。它使用DNS服务器绑定到IP地址。在其层次结构中,各个部分由点分隔,最后一个元素(在最右边)称为顶级域。此类域的示例是.com,.ca,.info等。左边是域名。层次结构的此部分用于访问网站。例如,<example> .com是具有.com顶级域的注册域名。
子域构成URL的最左侧,可以属于同一注册域中的不同网站。例如,Example建立了一个网站,但需要一个单独的电子邮件地址。它可以使用两个具有不同内容的不同子域:www。<example> .com和网络邮件。<example> .com。
网站所有者可以使用多种方法创建子域,例如将两个记录之一添加到域名描述中:A或CNAME。A记录将站点名称绑定到一个或多个IP地址。唯一的CNAME记录链接两个域。只有站点管理员才有权创建DNS记录。
子域捕获如何发生
如果用户控制A记录或CNAME记录指向的IP和URL,则认为子域已被劫持。示例:创建新应用程序后,开发人员将其托管在Heroku上,并创建一个指向主站点示例子域的CNAME记录。如果出现以下情况,这种情况将无法控制:
- 示例已在Heroku平台上注册了一个未使用SSL的帐户。
- Heroku Example unicorn457.herokuapp.com.
- Example DNS- CNAME, test.<example>.com unicorn457.herokuapp.com.
- Example test.<example>.com, Heroku . CNAME .
- , CNAME URL- Heroku, unicorn457.heroku.com.
- test.<example>.com, URL- Example.
接管子域的后果取决于其配置和父域的设置。例如,Arne Swinnen在其演示文稿Web Hacking Pro Tips#8(www.youtube.com/watch?v=76TIDwaxtyk)中,介绍了如何对cookie进行分组以仅传输匹配的域。但是,如果您将单个点指定为子域,例如<example> .com,则浏览器会将<example> .com cookie发送到用户访问的Example的任何子域。通过控制地址测试<example> .com,黑客可以从访问被劫持子域测试<example> .com的受害者那里窃取<example> .com cookie。
但是,即使不以这种方式对cookie进行分组,攻击者仍然可以创建一个模仿父站点的子域。通过在该子域上放置一个登录表单,它可以强制用户将其凭据传递给它。此漏洞允许两种常见的攻击类型,但还有其他黑客方法,例如拦截电子邮件。
要查找带有子域劫持的漏洞,请使用KnockPy工具分析站点的DNS记录,该工具会在子域中搜索典型错误消息,以查找由S3之类的服务返回的此类漏洞。KnockPy附带了一个值得检查的常用域名列表,但是您可以在上面扩展。可以在SecLists GitHub存储库(https://github.com/danielmiessler/SecLists/)。
捕获Ubiquiti子域
难度:低
URL:assets.goubiquiti.com
来源:hackerone.com/reports/109699/申请
日期:2016年1月10日赏金
:500美元
Amazon Simple Storage(或S3)是Amazon一部分的文件存储服务Web服务(AWS)。S3中的帐户是一个存储桶,可以通过以帐户名开头的AWS URL进行访问。Amazon将全局名称空间用于其存储桶URL,因此每个注册的存储桶都是唯一的。例如,如果我注册存储桶<example>,它将具有URL <example> .s3.amazonaws.com,只有我自己拥有。但是攻击者也可以选择任何免费的S3存储桶。
Ubiquiti已为assess.goubiquiti.com创建了一个CNAME记录,并将其链接到uwn-images.s3.website.us-west-1.amazonaws.com上的uwn-images S3存储桶。由于Amazon的服务器遍布世界各地,因此该URL包含有关存储分区的托管地理位置的信息。us-west-1(北加利福尼亚)。
该存储桶尚未注册,或者Ubiquiti从其AWS账户中删除了该存储桶,但未删除CNAME记录,但是在访问asset.goubiquiti.com时,浏览器尝试从S3中获取内容。黑客为自己拿了这个水桶,并报告了漏洞。
结论
查找指向第三方服务(例如S3)的DNS记录。如果找到任何此类记录,请检查公司是否正确配置了服务。此外,如果公司删除了子域但忘记更新其DNS设置,则可以使用自动工具(如KnockPy)连续监视记录和服务。
Scan.me子域链接到Zendesk
难度:低
URL:support.scan.me
来源:hackerone.com/reports/114134/报告
日期:2016年2月2日赏金
:1,000美元
Zendesk平台在网站子域上提供客户支持。例如,如果使用Example,则此子域可能看起来像support。<example> .com。
与前面的示例一样,scan.me的所有者创建了一个CNAME记录,该记录将support.scan.me绑定到scan.zendesk.com。scan.me服务后来被Snapchat收购。在交易完成之前不久,support.scan.me子域已从Zendesk中删除,但其CNAME记录仍然保留。发现这一点后,使用别名harry_mg的黑客注册了scan.zendesk.com,并使用Zendesk平台在其上发布了他的内容。
结论
在母子公司之间的集成过程中,某些子域可能会被删除。如果管理员忘记更新DNS记录,则存在子域劫持的威胁。由于子域可以随时更改,因此在公司成立后立即开始对记录信息进行连续跟踪。
在Shopify网站上抢夺Windsor子域
难度:低
URL:windsor.shopify.com
来源:hackerone.com/reports/150374/
报告提交日期:2016年7月10日赏金
:$ 500
接管子域并不总是涉及向第三方服务注册帐户。黑客zseano发现Shopify为windsor.shopify.com创建了一个指向aislingofwindsor.com的CNAME记录。他在crt.sh上搜索所有Shopify子域时发现了这一点,该域跟踪所有已注册的SSL证书及其关联的子域。该信息是公开的,因为任何SSL证书都必须由CA颁发,以便浏览器在访问该网站时可以验证其真实性。网站还可以注册所谓的通配符证书,该通配符证书为其所有子域提供SSL保护(在这种情况下,crt.sh显示为星号而不是子域)。
当网站注册通配符证书时,crt.sh无法确定其用于哪个子域,但会显示其唯一的哈希。censys.io服务通过扫描Internet来跟踪证书散列及其使用的子域。如果在censys.io中搜索通配符证书哈希,则会找到新的子域。
滚动浏览crt.sh上的子域列表并访问每个子域,zseano注意到windsor.shopify.com返回“ 404页面未找到”错误。也就是说,该网站为空或不再由aislingofwindsor.com拥有。为了测试第二种选择,zseano访问了域名注册服务,并试图找到aislingofwindsor.com。原来,该域名的价格为10美元。通过这样做,zseano通知Shopify代表有关子域劫持漏洞的信息。
结论
如果找到指向另一个站点并返回404错误的子域,请检查该站点是否可用于注册。crt.sh服务可以用作标识子域的起点。如果在此处找到通配符证书,请在censys.io上查找其哈希。
在Snapchat上捕获快速子域
难度:中
URL:fastly.sc-cdn.net/takeover.html
来源:hackerone.com/reports/154425/
报告提交日期:2016年7月27日赏金
:$ 3,000
快速地是一个内容交付网络。或CDN)。它将内容的副本存储在世界各地的服务器上,以便它们与请求它们的用户尽可能接近。
黑客Ibraitas告知Snapchat其sc-cdn.net域的DNS配置错误。网址为fast.sc-cdn.net有一个CNAME记录引用了快速子域。后者属于Snapchat,但未正确注册。当时,只要使用TLS加密流量(使用了Fastly通用通配符证书),Fastly服务就可以注册自定义子域。如果站点上的用户子域配置不正确,则会显示错误消息:“快速错误:未知域:。请检查该域是否已添加到服务中。”“请检查此域已被添加到服务中。
在报告问题之前,Ibraitas在censys.io上搜索了sc-cdn.net域,并通过注册SSL证书向Snapchat确认了其所有权。然后,他将服务器配置为从该URL接收流量,并显示该域实际上正在被使用。
Snapchat确认,有一小部分访问者继续使用其应用的旧版本,该旧版本的应用要求该子域提供未经身份验证的内容。自定义配置已更新,并带有指向其他URL的链接。从理论上讲,攻击者可以在很短的时间内从该子域向用户分发恶意文件。
结论
查找链接到返回错误消息的服务的站点。如果发现这样的错误,请阅读服务文档并了解其用法。然后尝试找到不正确的配置来接管子域。
在Legal Robot网站上捕获一个子域
难度:中
URL:api.legalrobot.com
来源:hackerone.com/reports/148770/投稿
日期:2016年7月1日赏金
:100美元
即使正确配置了第三方服务的子域,服务本身也可能配置不正确。 Frans Rosen告诉Legal Robot,api.legalrobot.com子域的DNS CNAME记录指向Modulus.io,他可以劫持该域名。
找到错误页面后,黑客必须访问该服务并注册一个子域。但是以api.legalrobot.com为例,此操作不成功:Legal Robot已经拥有该网站。
在不放弃的情况下,Rosen尝试注册一个通配符子域* .legalrobot.com,该子域仍然可用。Modulus站点配置优先于通配符子域,而不是更详细的条目,其中包括api.legalrobot.com。结果,如图2所示。14.1,Rosen能够在api.legalrobot.com上标记自己的内容。
请注意Rosen在图2中发布的内容。14.1。他没有让站点所有者感到尴尬并声称自己已经接管了该子域,而是使用了一个带有HTML注释的普通文本页面来确认发布该文本的人。
结论
当网站使用第三方服务托管子域时,它依赖于这些服务的安全性机制。不要忘记,在成功捕获子域的情况下,最好仔细进行演示。
关于作者
彼得·贾沃斯基(Peter Jaworski)成为一名黑客,独立研究了其前任的经验(书中提到了其中的一些经验)。他现在是一位成功的漏洞猎人,这要归功于Salesforce,Twitter,Airbnb,Verizon Media,美国国防部等,他现在是Shopify的应用程序安全工程师。
关于科学编辑
Tsang Chi Hong,又名FileDescriptor,是一个耗资五个月的漏洞猎人。居住在香港,在blog.innerht.ml上撰写有关网络安全的文章,并对音轨和加密货币感兴趣。
»有关这本书的更多详细信息,请访问出版商的网站
»目录
»摘录
给居住者的优惠券可享受25%的折扣-黑客攻击
在为该书的纸质版本付款后,会向该电子邮件发送一本电子书。