Pillole di #penetrationtest

Possiamo eseguire un processo di penetration test Internet Face (ossia osservando l'obiettivo da Internet) con soli strumenti online?

L'analisi di applicazioni esposte su Internet può richiede un cambio di arsenale: se questo tipo di analisi non è per noi una eccezione, potremmo trovarci con un arsenale inadeguato: perché allora pagarne gli oneri di miglioramento?

Potremmo più pragmaticamente orientarci verso una soluzione rapida fornitaci da strumenti online che abbiano la qualità funzionale desiderata.

Naturalmente non tutti i servizi online sono completamente gratuiti: hanno magari alcuni giorni di trial, oppure altre forme di limitazione in assenza di licenza; ma possono essere comunque una alternativa a strumenti di analisi offline che dobbiamo comunque acquisire o configurare.

Questo è quanto abbiamo trovato in Internet e vi proponiamo:

Per la ricognizione:

• https://www.google.com
• https://www.exploit-db.com/google-hacking-database
• https://www.waybackmachine.org/
• http://whois.domaintools.com/
• https://mxtoolbox.com/
• https://pentest-tools.com/information-gathering/find-subdomains-of-domain#
• https://dnsdumpster.com/

Per lo scanning:

• https://ping.eu/
• https://pingtool.org/
• https://sitereport.netcraft.com/
• https://www.shodan.io/

Per il vulnerability assessment:

• https://pentest-tools.com/website-vulnerability-scanning/website-scanner

Anche la valutazione robustezza password:

• https://howsecureismypassword.net/

Naturalmente questa è solo una piccola selezione. A voi la scelta e la ricerca di ulteriori strumenti online.

Il sistema di controllo degli accessi di un applicazione è responsabile della politica che prevede cosa possono fare gli utenti al suo interno.

La vunerabilità Broken Access Control in genere porta alla divulgazione non autorizzata di informazioni, alla modifica o alla distruzione di tutti i dati o all'esecuzione di una funzione al di fuori dei limiti dell'utente. Le vulnerabilità comuni del controllo degli accessi includono:

• Bypassare i controlli di controllo degli accessi modificando l'URL, lo stato dell'applicazione interna o la pagina HTML o semplicemente utilizzando uno strumento di attacco API personalizzato
• Consentire la modifica della chiave primaria nel record di un altro utente, consentire la visualizzazione o la modifica dell'account di qualcun altro.
• Elevazione del privilegio. Agire come utente senza aver effettuato l'accesso o agire come amministratore quando si accede come utente.
• Forza la navigazione nelle pagine autenticate come utente non autenticato o nelle pagine privilegiate come utente standard

Quando è notizia recentissima che Colonial Pipeline ha pagato un riscatto di $4.4 milioni per consentire lo sblocco dei propri sistemi dopo l'attacco ransomware subito il 7 maggio ne esce fuori un'altra ancora più eclatante.

CNA Hardy, compagnia di assicurazione che ha fatto delle assicurazioni contro il rischio cyber il proprio cavallo di battaglia, a marzo di quest'anno è stata colpita dal ransomware Phoenix Locker, divulgato dal gruppo APT russo Evil Corp. Non sono riuscito a capire quale è stata la tecnica utilizzata per veicolare il malware, ma generalmente Evil Corp utilizza RDP o VPN misconfiguration.

Ebbene, CNA Hardy per ritornare in possesso dei propri dati e evitare che venissero divulgati in rete ha pagato un riscatto di ben $40 milioni.

Sì, ho scritto bene: quarantamilionididollari!

Naturalmente oltre a questo danno facilmente quantificabile bisogna aggiungere i giorni di fermo e la perdita di reputazione, che per un'azienda che fa della protezione dal rischio cyber il proprio cavallo di battaglia non dovrebbe essere piccolo.

I ransomware oramai puntano al BGH, big game hunting, e pare che Evil Corp abbia proprio abbattuto un colosso!

#cybersecurity #cybercrime #ransomware #hacker #apt #PhoenixLocker #EvilCorp #ColonialPipeline #CNAHardy 

Il tag ENTITY in XML sono utilizzati per rappresentare un particolare dato in un documento XML. Questi possono anche essere EXTERNAL cioè fuori dal Document Type e utilizzano la keywork SYSTEM

L'XML external entity injection (nota anche come XXE) è una vulnerabilità che consente a un utente malintenzionato di interferire con l'elaborazione dei dati XML da parte di un'applicazione.

Spesso consente di visualizzare i file presenti sul file system dell'application server e di interagire con qualsiasi sistema esterno o di back-end a cui l'applicazione stessa può accedere.

In alcune situazioni, un utente malintenzionato può intensificare un attacco XXE per compromettere il server sottostante o un'altra infrastruttura back-end, sfruttando questa vulnerabilità per eseguire attacchi SSRF (server-side request forgery).

Un esempio potrebbe essere: <!ENTITY xxe SYSTEM "file:///dev/random" >]> dove si prova ad esegure un attacco Dos sul server facendogli caricare un file di lunghezza infinita!