저의 블로그는 보안에 대한 내용을 담고 있습니다.
Telegram addresses another privacy issue
링크:
https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html
요약:
- 텔레그램에서 사진을 보낸 후 개인적인 사유로 삭제할 수 있는 기능이 있음
- 그러나 삭제해도 /Telegram/Telegram Images/에 사진이 남는 것을 신고
H1-4420: From Quiz to Admin – Chaining Two 0-Days to Compromise An Uber WordPress
링크:
요약:
- 해당 취약점은 두 가지 취약점은 연계하여 admin credential을 takerover함 (Unauthenticated Stored XSS, Authenticated SQL Injection)
- 첫 번째 취약점은 php/slickquiz-scores.php의 generate_score_row에서 유저의 인풋을 통해 admin이 admin 페이지에 접속하여 정보를 조회할때 XSS가 가능한 취약점.
- 두 번째는 admin으로 로그인 했을때 wp-admin의 slickquize-scoreds 페이지의 id 인자에서 SQL Injection이 존재
- SQL Injection이 담긴 페이지를 요청하는 javascript를 로드하도록 XSS의 src를 해커의 페이지로 변경하여 강제로 실행하도록 함. 인젝션을 통해 user_pass가 출력됨
Pwn Them All #BugBounty
링크:
요약:
- 패스워드 리셋 기능을 보낼때 X-Forwarded-Host를 악성 도메인으로 변조하여 요청
- 희생자에게 메일 도착
- 메일이 도착했을때 패스워드 리셋링크가 X-Forwarded-Host의 링크로 변조되어 클릭시 패스워드 리셋 토큰이 공격자에게 보이게됨
How does my recon win $250 in 15 minutes
링크:
요약:
API 중 redirect_uri를 발견했고 오픈리다이렉트 250$를 받음. 이때 http 대신 https를 이용하여 400status bypass
How I could have hacked your Uber account
링크:
https://appsecure.security/blog/how-i-could-have-hacked-your-uber-account
요약:
- API 서버에서 번호 or 이메일을 전송하면 UUID를 받는 것이 가능
- 다른 API 함수를 통해 UUID를 전송하면 예민한 정보들을 받는 것들이 가능(계정 탈취도 가능)
Exploiting File Uploads Pt. 2 – A Tale of a $3k worth RCE.
링크:
https://anotherhackerblog.com/exploiting-file-uploads-pt-2/
요약:
- 신분 검사를 위해 사진을 업로드하는 페이지가 존재하는데 파일 확장자를 클라이언트 측에서 검사를 하여 burp suite로 우회가능
- 무슨 파일을 올릴지 고민하다가 XSS hunter라는 툴을 통해 직원이 파일 실행하는 것을 확인
파일 업로드를 했는데 직원이 실행하여 RCE 라고 올렸는데,, 흠,, 애매한 취약점이었던 듯 하다. 이 취약점이 3k나 받았다는 것도 놀라울 따름..
How two dead accounts allowed REMOTE CRASH of any Instagram android user
요약:
- 인스타그램은 PKID라는 아이디 번호가 있는데, 가장 초기에 만들어진 1, 2가 아이디 이름이 공백으로 되어 있음. 공백으로 되어있을 시 예외를 제대로 처리하지 않았을 가능성이 농후함.
- 다른 사람을 그룹에 초대한 후 아이디 1,2를 초대하도록 서버에 요청을 보내면 초대된 사람 측에서 어플이 Denial of Service
Android Slack App Remote denial of Service
해커원을 통해 slack에 신고하였으나 보안에 문제가 없다는 답변을 받음;;
slack을 통해 file://test 를 전달하고, 상대방이 이를 클릭하면 App이 죽는 간단한 버그였음. 현재 테스트해본 결과 아직도 동작하는듯.
Race Condition that could Result to RCE - (A story with an App that temporary stored an uploaded file within 2 seconds before moving it to Amazon S3)
링크:
요약:
- sql injection으로 내부 dashboard의 admin 권한을 얻음
- upload.php라는 기능에서 php 확장자를 필터링하지만 modify.php라는 이전에 올린 파일을 수정하는 기능에서는 php 필터링을 확장하지 않아서 쉽게 php 파일을 업로드하는 것이 가능했다. (웹쉘 업로드)
- 문제는 이 웹쉘 업로드한 것을 S3로 옮길 뿐더러 경로를 알 수 없다는 것. 이것을 우회하기 위해 modify.php에 여러번 리퀘스트 패킷을 발생시키니 레이스 컨디션이 발생하여 에러와 함께 파일의 풀경로가 출력됨
- 위의 얻은 경로를 계속 요청하며 파일을 업로드하면 S3로 옮기기 전에 파일이 남아있을 때 운좋게 접속하면 쉘 획득
Exploiting JSONP and Bypassing Referer Check
JSONP가 뭔가 해서 인터넷을 찾아봤는데 다음 링크가 가장 잘 나와있는 듯하다.
SOP를 우회하기 위해 JSONP라는 기법을 이용하게 되는데, 문제는 이를 사용하는 서버에서 데이터를 유출할 수 있다는 점이다. 하지만 해당 서버에서 Referer header를 체크하는 보안 검증 기법이 있었고 단순하게 해당 속성을 no-referrer 로 주어서 해결하였다.
pesante's blog 