از حفره‌ی آپلود فایل تا جوان جویای‌نام

همه فکر میکنن حفره‌ی امنیتی بیشتر مال فیلم‌هاس یا کدبیس‌های خیلی بزرگ مثل تلگرام و فیسبوک، ولی داستان اینجاس که روی یه فایل آپلود ۱۰ خطی ممکنه یه حفره به وجود بیاد، البته شاید هم دو تا =).


داستان از آپلود کردن فایل‌های نامتعارف بجای عکس پروفایل شروع میشه، توی داستان ما دوستی طبق رسوم باگی رو هانت کردن و برای گزارشش باید bounty به شخص باگ‌هانتر تقدیم بشه، بسیار هم عالی. گفته شد حتی اگر access رایت گرفته شده باشه خیلی ارزشمنده،شرایط قبول شد و خیلی ساده بود. باگ ارسال شد، حفره‌ی آپلود فایل غیر از عکس یا به عبارتی آپلود کد مخرب بود، که شما میتونی mimetype فایل‌ رو عوض کنی و اسکریپتی رو آپلود کنی روی سرور.

از اونجایی که استک سرور php نبود، مطابق بات‌های attacker ران کردن php روی سرور خورد توی دیوار، از طرف دیگه اسکریپت htmlی که باگ‌هانتر داستان ما آپلود کرده بودن JS بود و این زبون توی مرورگر قدرت داره نه سرور، توی سرور هم برای استفاده ازش باید از shell دستور اجرای Node فراخوانی بشه.

میرسیم به داستان آپلود کردن شل اسکریپت که حقیقتا ترسناکه، ولی خوب از اونجایی که میکروسرویس بود و سرویس آپلود و بقیه کانتیتر‌های جدا بودن دسترسی root و پراسس هایپروایزر و نمیگرفت و پایین نمیرفت، ولی هنوز sh آپلود کردن داستانه =))

البته خیلی داستان جالب میشد که بتونن رو استک React/Nodeی که ما داشتیم سطح دسترسی بگیرن، ولی خوب چندبار که گفتم میتونین با فایل آپلود سطح دسترسی بگیرید یا نه با حرفایی آلوده به شوآف و XSS گویان صحنه رو ترک کردن و یکم چیز بار ما هم کردن :)))) نمیدونم چرا به دوستمون برخورد یا چیز دیگه ولی حس میکنم خاطره‌ی خوبی از کار کردن با مجموعه‌ها قبلی نداشتن و کاملا تدافعی با ما برخورد کردن ( بگذریم که ریئکت در مقابل XSS مقاومه )

ماحصل داستان ما بهبود Regexp فایل فیلتر بود، طبق عرف هم از باگ‌هانتر عزیز چند مرتبه درخواست شد Bounty پیشنهادیش رو بگه برای پیشکش کردن در مقابل این قبیل حرکت‌های ارزشمند،‌ ولی خوب نمیدونم چرا آخر داستان دوستمون ناراحت شدن و رفتن [ منو "جوان جویای‌نام" نامید و بلاک کرد =) ]، وجود اخلاق حرفه‌ای و سافت‌اسکیل در این کار از شروط ادامه‌ی راهه،‌ مخصوصا اینکه شما داری یه باگ و گزارش میدی حلوا خیرات نمیکنی :))))

در نهایت در هر استکی که هستید مخصوصا php دوستان حتما روی فایل فیلترهاتون strict کار کنید اجازه ندید mimetype خارج از کنترل شما آپلود شه،‌ یعنی بهتره صراحتا mimetype های ساپورت شده رو توی بلاک ifتون بذاری، نه mimetypeهای ساپورت نشده.

و اینکه کیلویی یه directory رو پابلیک نکنید توی وب‌سرور که قابلیت Directory Traversal پیش نیاد :)))



در نهایت اگر باگ‌هانتر عزیز این متن و مطالعه میکنه میتونن با ارسال اطلاعات بانکی و پستی خودشون به ایمیل [email protected] بانتی خودشون رو دریافت کنن :)))) هر چند ناقابل و کوچیک