А расскажите, какими запросами вы «стреляете», как готовите запросы? Например, пытаетесь ли воспроизвести пользовательский цикл вида «Найти товар > положить объект в корзину > пощелкать количество > оформить заказ»?
Я во время карантина хотел купить телефон с фирменной курьерской Авито доставкой.
И что вы думаете? Из 5 продавцов, все как один посчитали меня разводилой и отправили куда-подальше! "-Что? Да мне отдать телефон курьеру? А деньги? ВСМЫСЛЕ мне ссылка придет и надо карту вбить?!"
Причем что обидно то, при создании объявления их ведь спрашивает форма создания "-Будем поддерживать Авито-Доставку?" и все они жмут «да!», не разобравшись даже что это и как.
К сожалению, у людей крайне низкое доверие ко всем этим доставкам, хотя сервис конечно полезный был бы.
Наилучшей практикой считается Inline code: разрешите только inline javascript с помощью значения unsafe-inline.
Это весьма плохой совет. Опция не просто так называется «Unsafe».
Внешние скрипты действительно нельзя будет подгрузить, но совершенно ничего не помешает в случае отраженной/хранимой XSS выполнить инлайн вредоносный код.
Если от unsafe-inline отказаться не получается, хорошим компромисом будет использование случайных nonce.
Спасибо за разбор! Будет весьма интересно потом послушать, как правильно провести платежи с Bugcrowd+Payoneer/Paypal.
Пара вопросов:
1. Правильно ли я понимаю, что если заработать больше 300 тыс. в год, то к 6% также прибавится еще 1 процент?
2. Инвойс подписывавае только исполнитель, то есть собственно самому ИП? Заказчик (Hackerone) ничего не подписывает и печати не ставит никуда?
httpOnly будет передаваться и по http и по https.
Но через JS её не извлечь (типа no js, http only)
Эти две опции могут сочетаться, следовательно комбинация Secure+HTTPOnly будет означать «куку передавать только по https, а для Javascript её сделать недоступной»
Наличие флага HttpOnly — кука не будет доступна для браузерного Javascript. То есть через <script>document.cookie</script> её не извлечь. Полезно в контексте защиты от XSS. Наличие флага Secure — кука будет передаваться браузером только по https (если зайти на сайт по http, то браузер куку не подставит)
А ограниченный выбор опций обусловлен браузерными спецификациями. Вот тут можно их поглядеть
Кажется я понял, откуда доступ к DOM. У вас оба файла расположены в рамках одного домена («origin»)?
А если бы violator.htm расположен был бы на другом домене?
Ну то есть ссылка ведет на другой сайт, а там в консоли уже ввести window.opener.document.write('PWNED!')
А какой версии у вас FF?
У меня 67.0 и window.opener.document.write('PWNED!') триггерит ошибку безопасности:
SecurityError: Permission denied to access property "document" on cross-origin object
Просто возможность взять и повлиять на чужой DOM, дописав туда любой вредоносный JS, была бы настолько опасной, что FF лучше было бы похоронить в таком случае.
«хочу устанавливать все игры» — тут имеется в виду «хочу получить всё и разом» :)
Acunetix и правда хорош. В них команде есть свои ресерчеры, следят за современными уязвимостями, актуализируют списки проверок. В первую очередь Акунетикс решает вопрос «покрытия кода» — в ручную можно случайно пропустить формочку, URL или забыть что-то прочекать. А сканер будет методично долбить часами или сутками пока весь веб ресурс не обойдет. Главное следить за сессией, чтобы не протухла :) Впрочем, можно настроить перелогин.
Кстати он и апишки проверяет, серверсайд инъекции им находились порой. Также можно посоветовать активный сканер встроенный в Burp+плагины для него, но про это отдельная статья будет.
А BeLove действительно уже не работает в DSec, но все еще занимается безопасностью, поэтому «коллега» :)
Intercepter конечно был хорош, когда-то.
Но он уже много лет не развивается, имеет крайне специфичный интерфейс и что самое неприятное — закрытый код. Использовать его в корпоративных сетях заказчика достаточно рисковано (всё таки это не в фри-вайфае Макдональдса побаловаться)
Лучше посмотрите на Responder/Bettercap, это более функциональные замены без вышеуказанных недостатков.
к этим снапшотам можно получить доступ и, к примеру, так же показать пользователю в Recents screen другое приложение под видом банковского, чем и пользуются трояны.
Расскажите пожалуйста чуть подробнее про этот момент, как именно происходит получение доступа и подмена приложения?
А расскажите подробнее про пример с
"<script>alert(document.cookie)</script>"
в JuiceShopЧто значит "не тупые"? Тег
<script>
получается браузеры научились детектить, а другие нет?)Все ли острые овощи (чеснок/прочие перцы) в основе имеют именно капсаицин или у них другая механика?
И что вы думаете? Из 5 продавцов, все как один посчитали меня разводилой и отправили куда-подальше! "-Что? Да мне отдать телефон курьеру? А деньги? ВСМЫСЛЕ мне ссылка придет и надо карту вбить?!"
Причем что обидно то, при создании объявления их ведь спрашивает форма создания "-Будем поддерживать Авито-Доставку?" и все они жмут «да!», не разобравшись даже что это и как.
К сожалению, у людей крайне низкое доверие ко всем этим доставкам, хотя сервис конечно полезный был бы.
Это весьма плохой совет. Опция не просто так называется «Unsafe».
Внешние скрипты действительно нельзя будет подгрузить, но совершенно ничего не помешает в случае отраженной/хранимой XSS выполнить инлайн вредоносный код.
Если от unsafe-inline отказаться не получается, хорошим компромисом будет использование случайных nonce.
Пара вопросов:
1. Правильно ли я понимаю, что если заработать больше 300 тыс. в год, то к 6% также прибавится еще 1 процент?
2. Инвойс подписывавае только исполнитель, то есть собственно самому ИП? Заказчик (Hackerone) ничего не подписывает и печати не ставит никуда?
Но по личным ощущениям Objection как-то уверенее байпасит пининнг, обновляется чаще и кажется больше библиотек умеет «хукать».
А уж если человек готов накатать скриптик для Фриды, то ему вообще море по колено будет х)
Еще встречали случаи, когда программы детектили установленный XPosed и плохо себя вели из-за этого.
Но через JS её не извлечь (типа no js, http only)
Эти две опции могут сочетаться, следовательно комбинация Secure+HTTPOnly будет означать «куку передавать только по https, а для Javascript её сделать недоступной»
P.S. Да, они непонятно называются, увы :(
Наличие флага HttpOnly — кука не будет доступна для браузерного Javascript. То есть через <script>document.cookie</script> её не извлечь. Полезно в контексте защиты от XSS.
Наличие флага Secure — кука будет передаваться браузером только по https (если зайти на сайт по http, то браузер куку не подставит)
А ограниченный выбор опций обусловлен браузерными спецификациями. Вот тут можно их поглядеть
А если бы violator.htm расположен был бы на другом домене?
Ну то есть ссылка ведет на другой сайт, а там в консоли уже ввести
window.opener.document.write('PWNED!')
У меня 67.0 и
window.opener.document.write('PWNED!')
триггерит ошибку безопасности:SecurityError: Permission denied to access property "document" on cross-origin object
Просто возможность взять и повлиять на чужой DOM, дописав туда любой вредоносный JS, была бы настолько опасной, что FF лучше было бы похоронить в таком случае.
Acunetix и правда хорош. В них команде есть свои ресерчеры, следят за современными уязвимостями, актуализируют списки проверок. В первую очередь Акунетикс решает вопрос «покрытия кода» — в ручную можно случайно пропустить формочку, URL или забыть что-то прочекать. А сканер будет методично долбить часами или сутками пока весь веб ресурс не обойдет. Главное следить за сессией, чтобы не протухла :) Впрочем, можно настроить перелогин.
Кстати он и апишки проверяет, серверсайд инъекции им находились порой. Также можно посоветовать активный сканер встроенный в Burp+плагины для него, но про это отдельная статья будет.
А BeLove действительно уже не работает в DSec, но все еще занимается безопасностью, поэтому «коллега» :)
А вот значение 'window.opener.location.href' в Хроме прекрасно меняется.
Но он уже много лет не развивается, имеет крайне специфичный интерфейс и что самое неприятное — закрытый код. Использовать его в корпоративных сетях заказчика достаточно рисковано (всё таки это не в фри-вайфае Макдональдса побаловаться)
Лучше посмотрите на Responder/Bettercap, это более функциональные замены без вышеуказанных недостатков.
Расскажите пожалуйста чуть подробнее про этот момент, как именно происходит получение доступа и подмена приложения?