Telegram addresses another privacy issue

링크:

https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html

요약:

1. 텔레그램에서 사진을 보낸 후 개인적인 사유로 삭제할 수 있는 기능이 있음
2. 그러나 삭제해도 /Telegram/Telegram Images/에 사진이 남는 것을 신고

H1-4420: From Quiz to Admin – Chaining Two 0-Days to Compromise An Uber WordPress

링크:

https://www.rcesecurity.com/2019/09/H1-4420-From-Quiz-to-Admin-Chaining-Two-0-Days-to-Compromise-an-Uber-Wordpress/

요약:

1. 해당 취약점은 두 가지 취약점은 연계하여 admin credential을 takerover함 (Unauthenticated Stored XSS, Authenticated SQL Injection)
2. 첫 번째 취약점은 php/slickquiz-scores.php의 generate_score_row에서 유저의 인풋을 통해 admin이 admin 페이지에 접속하여 정보를 조회할때 XSS가 가능한 취약점.
3. 두 번째는 admin으로 로그인 했을때 wp-admin의 slickquize-scoreds 페이지의 id 인자에서 SQL Injection이 존재
4. SQL Injection이 담긴 페이지를 요청하는 javascript를 로드하도록 XSS의 src를 해커의 페이지로 변경하여 강제로 실행하도록 함. 인젝션을 통해 user_pass가 출력됨

Pwn Them All #BugBounty

링크:

Medium.com에서 보기

요약:

1. 패스워드 리셋 기능을 보낼때 X-Forwarded-Host를 악성 도메인으로 변조하여 요청
2. 희생자에게 메일 도착
3. 메일이 도착했을때 패스워드 리셋링크가 X-Forwarded-Host의 링크로 변조되어 클릭시 패스워드 리셋 토큰이 공격자에게 보이게됨

How does my recon win $250 in 15 minutes

링크:

Medium.com에서 보기

요약:

API 중 redirect_uri를 발견했고 오픈리다이렉트 250$를 받음. 이때 http 대신 https를 이용하여 400status bypass

How I could have hacked your Uber account

링크:

https://appsecure.security/blog/how-i-could-have-hacked-your-uber-account

요약:

1. API 서버에서 번호 or 이메일을 전송하면 UUID를 받는 것이 가능
2. 다른 API 함수를 통해 UUID를 전송하면 예민한 정보들을 받는 것들이 가능(계정 탈취도 가능)

Exploiting File Uploads Pt. 2 – A Tale of a $3k worth RCE.

링크:

https://anotherhackerblog.com/exploiting-file-uploads-pt-2/

요약:

1. 신분 검사를 위해 사진을 업로드하는 페이지가 존재하는데 파일 확장자를 클라이언트 측에서 검사를 하여 burp suite로 우회가능
2. 무슨 파일을 올릴지 고민하다가 XSS hunter라는 툴을 통해 직원이 파일 실행하는 것을 확인

파일 업로드를 했는데 직원이 실행하여 RCE 라고 올렸는데,, 흠,, 애매한 취약점이었던 듯 하다. 이 취약점이 3k나 받았다는 것도 놀라울 따름..

How two dead accounts allowed REMOTE CRASH of any Instagram android user

How two dead accounts allowed REMOTE CRASH of any Instagram android user

링크: https://www.valbrux.it/blog/2019/09/13/how-two-dead-users-allowed-remote-crash-of-any-instagram-android-user/

요약:

1. 인스타그램은 PKID라는 아이디 번호가 있는데, 가장 초기에 만들어진 1, 2가 아이디 이름이 공백으로 되어 있음. 공백으로 되어있을 시 예외를 제대로 처리하지 않았을 가능성이 농후함.
2. 다른 사람을 그룹에 초대한 후 아이디 1,2를 초대하도록 서버에 요청을 보내면 초대된 사람 측에서 어플이 Denial of Service

Android Slack App Remote denial of Service

해커원을 통해 slack에 신고하였으나 보안에 문제가 없다는 답변을 받음;;

slack을 통해 file://test 를 전달하고, 상대방이 이를 클릭하면 App이 죽는 간단한 버그였음. 현재 테스트해본 결과 아직도 동작하는듯.

Race Condition that could Result to RCE - (A story with an App that temporary stored an uploaded file within 2 seconds before moving it to Amazon S3)

링크:

Medium.com에서 보기

요약:

1. sql injection으로 내부 dashboard의 admin 권한을 얻음
2. upload.php라는 기능에서 php 확장자를 필터링하지만 modify.php라는 이전에 올린 파일을 수정하는 기능에서는 php 필터링을 확장하지 않아서 쉽게 php 파일을 업로드하는 것이 가능했다. (웹쉘 업로드)
3. 문제는 이 웹쉘 업로드한 것을 S3로 옮길 뿐더러 경로를 알 수 없다는 것. 이것을 우회하기 위해 modify.php에 여러번 리퀘스트 패킷을 발생시키니 레이스 컨디션이 발생하여 에러와 함께 파일의 풀경로가 출력됨
4. 위의 얻은 경로를 계속 요청하며 파일을 업로드하면 S3로 옮기기 전에 파일이 남아있을 때 운좋게 접속하면 쉘 획득

Exploiting JSONP and Bypassing Referer Check

Medium.com에서 보기

https://medium.com/bugbountywriteup/exploiting-jsonp-and-bypassing-referer-check-2d6e40dfa24

JSONP가 뭔가 해서 인터넷을 찾아봤는데 다음 링크가 가장 잘 나와있는 듯하다.

http://dev.epiloum.net/1311

SOP를 우회하기 위해 JSONP라는 기법을 이용하게 되는데, 문제는 이를 사용하는 서버에서 데이터를 유출할 수 있다는 점이다. 하지만 해당 서버에서 Referer header를 체크하는 보안 검증 기법이 있었고 단순하게 해당 속성을 no-referrer 로 주어서 해결하였다.