Storia 1
Dopo 6 giorni di lunghe ricerche, riesco a scoprire Reflected XSS in un sito aziendale dove mi ero candidato per trattare di temi di cybersecurity. Questo sito usava un WAF di base, buono ma non ai livelli di Sucuri o Cloudflare/Cloudfront. Con double-URL encoding supero il filtro e ottengo finalmente alert(1) su tutti i browser moderni, mentre su versioni vecchie di Internet Explorer (per qualche ragione, sono sempre usati in alcuni contesti) era possibile bindare codice VBS, che permette di creare degli attack-chain davvero sadici:
Comunque, dopo aver segnalato la vulnerabilità, il responsabile dell'attività visualizza ma non risponde.
Storia 2
La triste storia del --->Consiglio Nazionale delle Ricerche<---, che espone tranquillamente un endpoint affetto da una vulnerabilità documentata nel 2015. La vulnerabilità permette di eseguire codice PHP a piacere. Come è possibile? Ohibò, si tratta di HTTP Header Injection. Una vulnerabilità che affligge solo vecchie versioni di PHP: Un attaccante può inviare un carattere UTF-8 specifico, che provoca il troncamento dell'input, e il server va a deserializzare dati invalidi, senza alcun controllo. L'input molesto inserito negli Header, viene in seguito memorizzato nel database della webapp, che nel momento in cui prova a leggerlo, esegue involontariamente l'input molesto. Per verificare la vulnerabilità non è necessario "attaccare", come molti possono credere. Un pentester che vuole semplicemente verificarla, basta inviare un input innoquo (come 'X-Test: TestString�ExtraData') che non causi danni/violazioni di privacy, o alterazioni del workflow.
Meno male che siamo un paese con un governo di centro-destra. Immaginatevi un paese di CDX che premia e retribuisce la Mediocrità Assoluta: proteggiamo gli utenti che perdono le loro giornate su Facebook, Instagram e P***Hub, abbiamo permesso ad influencer falsi e ipocriti come Chiara Ferragni di inviare comunicati fraudolenti al popolo tramite questi siti 'corazzati', senza dare agli utenti la possibilità di riscattare l'onore, cancellando l'esistenza di questa gente da Internet. Ma il CNR viene lasciato indietro. Incredibile, un senso di gerarchia e di priorità della tutela dei dati mai visti prima d'ora. Priorità di cui ci si può auto-arrogare semplicemente avendo i soldi.
Dopo 6 giorni di lunghe ricerche, riesco a scoprire Reflected XSS in un sito aziendale dove mi ero candidato per trattare di temi di cybersecurity. Questo sito usava un WAF di base, buono ma non ai livelli di Sucuri o Cloudflare/Cloudfront. Con double-URL encoding supero il filtro e ottengo finalmente alert(1) su tutti i browser moderni, mentre su versioni vecchie di Internet Explorer (per qualche ragione, sono sempre usati in alcuni contesti) era possibile bindare codice VBS, che permette di creare degli attack-chain davvero sadici:
--->XSS--->VBS--->shellcode--->reverse shell
Comunque, dopo aver segnalato la vulnerabilità, il responsabile dell'attività visualizza ma non risponde.
Storia 2
La triste storia del --->Consiglio Nazionale delle Ricerche<---, che espone tranquillamente un endpoint affetto da una vulnerabilità documentata nel 2015. La vulnerabilità permette di eseguire codice PHP a piacere. Come è possibile? Ohibò, si tratta di HTTP Header Injection. Una vulnerabilità che affligge solo vecchie versioni di PHP: Un attaccante può inviare un carattere UTF-8 specifico, che provoca il troncamento dell'input, e il server va a deserializzare dati invalidi, senza alcun controllo. L'input molesto inserito negli Header, viene in seguito memorizzato nel database della webapp, che nel momento in cui prova a leggerlo, esegue involontariamente l'input molesto. Per verificare la vulnerabilità non è necessario "attaccare", come molti possono credere. Un pentester che vuole semplicemente verificarla, basta inviare un input innoquo (come 'X-Test: TestString�ExtraData') che non causi danni/violazioni di privacy, o alterazioni del workflow.
Meno male che siamo un paese con un governo di centro-destra. Immaginatevi un paese di CDX che premia e retribuisce la Mediocrità Assoluta: proteggiamo gli utenti che perdono le loro giornate su Facebook, Instagram e P***Hub, abbiamo permesso ad influencer falsi e ipocriti come Chiara Ferragni di inviare comunicati fraudolenti al popolo tramite questi siti 'corazzati', senza dare agli utenti la possibilità di riscattare l'onore, cancellando l'esistenza di questa gente da Internet. Ma il CNR viene lasciato indietro. Incredibile, un senso di gerarchia e di priorità della tutela dei dati mai visti prima d'ora. Priorità di cui ci si può auto-arrogare semplicemente avendo i soldi.