Взлом современных корпоративных сайтов в 2023 году

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

Доброго дня коллеги. Сегодня я хотел бы поделиться своим опытом взлома современных сайтов в финансовом секторе, созданных современными разработчиками в реалиях 2023 года, того стека что используется и актуальных технологий. Пишу данную статью после захвата 2 корпоративных сайтов написанных на современных фреймворках, в которых удалось провести инъекции типа Command and Code Injection

Видео на тему как провести атаку LFI или RFI в PHP или как просто найти секреты открыв исходный код страницы или поглядев robots.txt к сожалению не работают. Не работают и топорные методы просто натравить общеизвестные сканеры типа Acunetix или Burp Scanner и ждать пока мы что-то насобираем в таком ключе.

Я бы хотел подсветить именно те методы которые нам в этом помогут

  1. Recon это наше все. Необходимо потратить достаточное количество времени для того чтобы определить технологический стек наших сайтов. И пойти немного дальше чем установку плагинов в Chrome Wappalyzer или BuildWith или запуск nikto. Нам нужно приложить все усилия чтобы понять на чем действительно написан бэкенд того модуля сайта с которым мы работает. Мы должны приложить максимум усилий чтобы выяснить версии тех фреймворков и языков с которыми мы работаем.

  1. Определить тот стек который мы ломаем и работать именно с ним. Создавать свои пейлод листы. Что я имею ввиду. Не нужно натравливать сканеры на Ruby если payload в них php или java. Максимально отслеживайте ту нагрузку что выдают сканеры. Не нужно натравливать seclists мохнатых годов если вы не уверены что это поможет. Не надо натравливать брутфорс листы нацеленные на зарубежную аудиторию, а попробовать собрать свои.

  2. Подготовить список инъекций для нужного нам стека и языка. Сделать максимальный ресерч методами github и google на тему тех инъекций и пейлодов которые мы можем использовать конкретно на данный стек.

  3. Попытаться развернуть локально ту технологию которую мы ломаем. Изучить внимательно все misconfigurations которые могут допустить админы и программисты поднимая данные сервисы.

  4. Троянский конь. Обязательно поднимите списки все поддоменов цели. Определи те точки входа где по вашим ощущениям они вас не ждут. Не бейте в лоб. Ищите места которые созданы не хорошо защищенным фреймворком, с жестко заданными полями которые проходят отличную очистку, а именно созданные ручным трудом кодеров.

  5. Автоматизируйте то что уже сделали. Простой пример автоматизации рекона в bash написанный за 5 минут:
    httpx -fc '403,401,400,404,503' -l subdomains.txt > subdomains_cleared_$vuln.txt && gowitness file -f ./subdomains_cleared_$vuln.txt -P ./screenshots__$vuln_$(date +%F) && subzy run --targets ./subdomains.txt && nuclei -l ./subdomains_cleared_$vuln.txt

  6. Документируйте ваш тулинг чтобы вернуться к нему в быстрые сроки и быстро поднять нужный синтаксис команд не ресерчя каждый раз одну и ту же тему. Юзайте Notion, Xmind, CherryTree, Evernote кто что больше любит.

    На сегодня я хотел бы закончить и поблагодарить вас за внимание. Чтобы не перегружать материал а дать именно то что действительно работает.

Источник: https://habr.com/ru/articles/749512/


Интересные статьи

Интересные статьи

Ежемесячно мы смотрим, какие компании публикуют больше всего вакансий и изучаем активность найма в разрезе специализаций и квалификаций. А ещё собираем эффективные вакансии за месяц: те, которые привл...
Процесс добавления метаданных, тэгов или меток к различным объектам, действиям или событиям в видео называется аннотированием видео. Живые аннотаторы могут выполнять эту задачу вручную, однако благо...
2022 год выдался сверхнапряженным по количеству и приложенным усилиям компьютерных атак на государственные ресурсы России. Исключением не стала и информационная инфраструктура Республики Татарстан, ко...
Свежее исследование Gartner на будущий 2023 год на удивление сильно отличается от прогнозов на 2022. Оттого интереснее посмотреть, на что делают акцент ребята из главного в области информационных техн...
Меня зовут Николай и я Frontend-разработчик в логистическом стартапе Relog. Хочу рассказать о самых распространённых ошибках в вёрстке современных проектов.В этой статье мы говорим о вложении тегов др...