Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Nyilvános Rails repó - Jól átgondoltad?

2012.12.21. 18:10 | buherator | 2 komment

Egy gyors poszt mielőtt lelépek szülinapozni/hétvégézni/karácsonyozni/évvégét ünnepelni.

Joernchen újabb gondolatébresztő poszttal gazdagította a Phenoelite blogját: a kutató arra kívánja felhívni a figyelmet, hogy egyes Ruby on Rails-t használó fejlesztők nem gondolkodnak eleget alkalmazásaik publikálása előtt, ami könnyedén tömeges törésekhez vezethet.

A RoR keretrendszer előszeretettel tárol hitelesítő adatokat kliens oldalon, ami nem lenne baj, ugyanis a visszakapott adatok hitelessége szerver oldalon HMAC-el ellenőrizve van. A problémát az okozza, hogy sokan a forráskóddal együtt vígan megosztják az algoritmus kulcsát is például GitHub-on, telepítéskor pedig kevesen cserélik le azt. 

Ilyen módon egy megfelelő célpontot találva bárki átírhatja például a felhasználói azonosítóját mondjuk egy adminisztrátoréra vagy idegen felhasználókéra, melynek hatását (az évvégi doksihegyekkel a hátam mögött) remélem nem kell ecsetelnem :) Külön vicces, hogy a RoR Authlogic autentikációs módban annyira megbízik a HMAC-ben, hogy a felhasználótól kapott, ellenőrzött adatokat gond nélkül hozzácsapja egy SQL lekérdezéshez, SQL injection-re adva lehetőséget.* Ez ugyebár azért nagyobb baj, mint a sima privilégiumemelés/felhasználó megszemélyesítés, mert az adatbázis simán futhat egy másik kiszolgálón, rossz konfiguráció esetén pedig az injection akár operációs rendszer szintű parancsvégrehajtásra is lehetőséget adhat (legutóbb december elején Kingcope exploitjainál került elő a téma).

Szóval kedves nyílt-forrást fejlesztők, egy jó tanács az ünnepekre: Push/commit előtt gondolkodjatok egy kicsit el azon, mennyi bedrótozott érzékeny infót tartalmaznak az alkalmazásaitok!

* Friss: A probléma valójában nem az Authlogic-kal, hanem RoR-el van, viszont az elterjedt esetekben csak Authlogic-on keresztül kihasználható. Részletes leírás a ma (jan 3.) javított problémáról itt olvasható.

Címkék: ruby on rails phenoelite joernchen

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

hrgy 2012.12.21. 19:56:20

Raadasul tobben az adatbazis konfigot is megosztjak akarva-akaratlan, ami egy jelszot igenylo adatbazismotor eseteben durva hiba.

dr poljakov 2012.12.22. 09:45:35

"ellenőrizve van". :/