🥡 👩🏽‍🏫 🖼️ एक भेद्यता के बारे में ... 🦂 🆔 ◀️

एक साल पहले, 21 मार्च, 2019, में एक बग इनाम कार्यक्रम Mail.ru HackerOne पर एक बहुत अच्छा आया बग रिपोर्ट से maxarr । जब एक HTTP पुनर्निर्देशन वापस करने वाले वेबमेल एपीआई अनुरोधों में से एक के पोस्ट पैरामीटर में एक शून्य बाइट (एएससीआईआई 0) को एम्बेड किया जाता है, तो अप्रत्यक्ष मेमोरी के टुकड़े को पुनर्निर्देशित डेटा में देखा गया था, जिसमें जीईटी मापदंडों से टुकड़े और अन्य अनुरोधों के हेडर थे। एक ही सर्वर।

यह एक महत्वपूर्ण भेद्यता है क्योंकि अनुरोधों में सत्र कुकीज़ शामिल हैं। कुछ घंटों बाद, एक अस्थायी फिक्स किया गया था, जिसने एक शून्य बाइट को फ़िल्टर किया (जैसा कि बाद में पता चला, यह पर्याप्त नहीं था, क्योंकि CRLF / ASCII 13, 10 को इंजेक्ट करने की संभावना थी, जो आपको HTTP प्रतिक्रिया के हेडर और डेटा को हेरफेर करने की अनुमति देता है, यह कम महत्वपूर्ण है, लेकिन कम महत्वपूर्ण है अभी भी अप्रिय)। उसी समय, समस्या को बग के कारणों को खोजने और समाप्त करने के लिए सुरक्षा विश्लेषकों और डेवलपर्स को संदर्भित किया गया था।

Mail.ru मेल एक बहुत ही जटिल एप्लिकेशन है, बड़ी संख्या में विभिन्न फ्रंट-एंड / बैक-एंड घटक, दोनों ओपन सोर्स (सभी मुफ्त सॉफ्टवेयर डेवलपर्स के लिए बहुत धन्यवाद) और हमारे स्वयं के विकास, प्रतिक्रिया में भाग ले सकते हैं। नगनेक्स और ओपनरेस्टी को छोड़कर सभी घटकों को बाहर करना और ngx.req.set_uri () को कॉल करने से पहले समस्या का स्थानीयकरण करना संभव था।एक OpenResty स्क्रिप्ट में, जो अपेक्षा के अनुरूप व्यवहार नहीं करती थी (जीईटी मापदंडों के माध्यम से फिर से लिखने से ngx_http_rewrite_module पर एक शून्य बाइट या लाइन फ़ीड छड़ी करें, जो प्रलेखन के अनुसार उपयोग किया जाता है और, ऐसा लगता है, बिल्कुल उसी तरह काम करना चाहिए)। संभावित परिणामों को समाप्त कर दिया गया था, सबसे सख्त फ़िल्टरिंग जोड़ा गया था, और यह सत्यापित किया गया था कि फ़िल्टरिंग सभी संभव वैक्टर को समाप्त करता है। लेकिन जो तंत्र स्मृति सामग्री के रिसाव का कारण बना वह एक रहस्य बना रहा। एक महीने बाद, बग्रेपोर्ट को अधिकृत के रूप में बंद कर दिया गया था, और बग के कारणों का विश्लेषण बेहतर समय तक स्थगित कर दिया गया था।

OpenResty एक बहुत ही लोकप्रिय प्लगइन है जो आपको Nginx के अंदर Lua स्क्रिप्ट लिखने की अनुमति देता है, और इसका उपयोग कई Mail.ru परियोजनाओं में किया जाता है, इसलिए समस्या को हल नहीं माना गया। और कुछ समय बाद, वे फिर भी उसके असली कारणों, संभावित परिणामों को समझने और डेवलपर्स के लिए सिफारिशें करने के लिए उसके पास लौट आए। स्रोत कोड डेनिस डेनिसोव और निकोलाई एर्मिशकिन द्वारा खुदाई की गई थी । ऐसा पता चला कि:

nginx rewrite directory traversal ( SSRF) , , Nginx Amplify Gixy (, , ). OpenResty , .

:
```
location ~ /rewrite {
    rewrite ^.*$ $arg_x;
}

location / {
    root html;
    index index.html index.htm;
}
```
curl localhost:8337/rewrite?x=/../../../../../../../etc/passwd root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin ...

nginx , , rewrite . nginx , , , , , . .

(^@ )


location ~ /memleak {
    rewrite ^.*$ "^@asdfasdfasdfasdfasdfasdfasdfasdfasdfasdfasdasdf";
}

location / {
    root html;
    index index.html index.htm;
}

curl localhost:8337/secret -vv
...
curl localhost:8337/memleak -vv
...
Location: http://localhost:8337/secret
...

Nginx GET- rewrite GET-. nginx . POST . OpenResty GET POST , POST OpenResty .

:

location ~ /memleak {
    rewrite_by_lua_block {
        ngx.req.read_body();
        local args, err = ngx.req.get_post_args();
        ngx.req.set_uri( args["url"], true );
    }
}

location / {
    root html;
    index index.html index.htm;
}

curl localhost:8337 -d "url=secret" -vv
...
curl localhost:8337 -d "url=%00asdfasdfasdfasdfasdfasdfasdfasdf" -vv
...
Location: http://localhost:8337/{... secret...}
...

समस्या nginx और OpenResty डेवलपर्स को बताई गई थी, डेवलपर्स समस्या को nginx में सुरक्षा त्रुटि के रूप में नहीं मानते हैं, क्योंकि nginx में विशेष वर्णों के इंजेक्शन के माध्यम से त्रुटि का फायदा उठाने का कोई तरीका नहीं है, स्मृति की सामग्री को प्रकट करने के लिए सुधार 16 दिसंबर को प्रकाशित किया गया था। रिपोर्ट के बाद के 4 महीनों में, OpenResty में कोई बदलाव नहीं किया गया था, हालांकि एक समझ थी कि ngx.req.set_uri () फ़ंक्शन का एक सुरक्षित संस्करण आवश्यक था। 18 मार्च, 2020 को, हमने जानकारी प्रकाशित की, 21 मार्च को, ओपनरिटी ने संस्करण 1.15.8.3 जारी किया , जो एक यूआरआई चेक जोड़ता है।

पोर्ट्सविगर ने लिखा मैंने OpenResty और Nginx से एक अच्छा लेख लिया (हालांकि यह टिप्पणी कि स्मृति का केवल एक छोटा सा टुकड़ा पता चला है गलत और भ्रामक है, यह शून्य बाइट के बाद लाइन की लंबाई से निर्धारित होता है और, स्पष्ट लंबाई प्रतिबंध के अभाव में, हमलावर द्वारा नियंत्रित किया जा सकता है)।

तो क्या गलती थी और इसे रोकने के लिए क्या करना चाहिए?

क्या नगीनक्स में कोई त्रुटि थी? हां, यह था, क्योंकि स्मृति रिसाव वैसे भी एक त्रुटि है।

क्या OpenResty में कोई त्रुटि थी? हां, कम से कम OpenResty द्वारा की गई कार्यक्षमता की सुरक्षा के मुद्दे की जांच और दस्तावेज नहीं किए गए हैं।

क्या OpenResty कॉन्फ़िगरेशन / उपयोग त्रुटि हुई है? हां, क्योंकि एक स्पष्ट संकेत की अनुपस्थिति में, उपयोग की गई कार्यक्षमता की सुरक्षा के बारे में एक असत्यापित धारणा बनाई गई थी।

इनमें से कौन सी त्रुटि $ 10,000 का बाउंटी सुरक्षा भेद्यता है?हमारे लिए, यह आम तौर पर महत्वपूर्ण नहीं है। किसी भी सॉफ़्टवेयर में, विशेष रूप से कई घटकों के जंक्शन पर, विशेष रूप से विभिन्न परियोजनाओं और डेवलपर्स द्वारा प्रदान किए गए, कोई भी कभी भी गारंटी नहीं दे सकता है कि उनके काम की सभी विशेषताओं को जाना जाता है और प्रलेखित किया गया है और इसमें कोई त्रुटि नहीं है। इसलिए, कोई भी सुरक्षा भेद्यता ठीक उसी जगह पर उत्पन्न होती है जहां यह सुरक्षा को प्रभावित करता है।

किसी भी मामले में, इनपुट डेटा को सामान्य करने या सीमित करने के लिए अच्छा अभ्यास है, जो किसी भी बाहरी मॉड्यूल / एपीआई पर जाता है, अगर कोई स्पष्ट संकेत नहीं हैं और एक अस्पष्ट समझ है कि इसकी आवश्यकता नहीं है।

शुद्धिपत्र

अनुभव के अनुसार पिछले लेख के क्रम में, भाषा की शुद्धता को संरक्षित करने में:

एक बग इनाम - कीड़े के लिए शिकार प्रतियोगिता
बग रिपोर्ट - त्रुटि सूचना
रीडायरेक्ट - रीडायरेक्ट
opensorsny - खुला स्रोत
शुद्धिपत्र के रूप में जाना - कीड़े पर काम

एक भेद्यता के बारे में ...

तो क्या गलती थी और इसे रोकने के लिए क्या करना चाहिए?

शुद्धिपत्र

More articles: