Getting customers to understand and value #web app security is hard.

#InfoSec #WebSec #AppSec #WeAreAllDoomed

Ciekawa podatność w pluginie do płatności WooCommerce – można jednym nagłówkiem utworzyć nowego admina w WordPress

Podatność w pluginie WooCommerce payments (obecnie ~600k instalacji) została parę miesięcy temu, ale teraz pokazała się ciekawa analiza luki, ponoć podatność też jest obecnie aktywnie wykorzystywana. Dobra informacja jest taka, że producent wydał łatkę z wymuszeniem jej instalacji. Warto sprawdzić czy jesteśmy załatani, bo exploit jest naprawdę prosty i wygląda...

#WBiegu #Websec #Wordpress
https://sekurak.pl/ciekawa-podatnosc-w-pluginie-do-platnosci-woocommerce-mozna-jednym-naglowkiem-utworzyc-nowego-admina-w-wordpress/

Cała seria exploitów używana w aktywnych atakach przejmujących urządzenia IoT. Jest też unauth RCE na… farmę solarną, czy raczej panel do jej monitorowania.

Ciekawy wpis podsumowujący nowe / średnio-nowe / stare exploity używane aktualnie w ramach aktywności botnetu Mirai. Oj, czego my tu nie mamy? Podatności w wybranych urządzeniach D-Linka, TP-Linka, Zyxela, Netgeara… ale jest też podatność w aplikacji SolarView, służącej do monitorowania farm paneli fotowoltaicznych: Podatność jest raczej prosta do wyeksploitowania, a...

#WBiegu #Iot #Rce #Websec
https://sekurak.pl/cala-seria-exploitow-uzywana-w-aktywnych-atakach-przejmujacych-urzadzenia-iot-jest-tez-unauth-rce-na-farme-solarna-czy-raczej-panel-do-jej-monitorowania/

"Testing GraphQL APIs"

https://portswigger.net/web-security/graphql

#security #websec #appsec #graphql

Sichere Webanwendungen bauen: Vom 16.-18.08. lernt ihr bei Dimitrij im Online-Training, wie #websecurity jede Ebene von Entwurf, Entwicklung, Test und Betrieb berührt. Inkl. #isaqb Zertifikat 🙌 Jetzt anmelden: https://www.socreatory.com/de/trainings/web-security/events/77705b3eec6b #websec

Man this discussion is somfrustrating, and now 5 years later the decision comes and bites Google in the Ass while having YouTube session cookies stolen on a 20 million subscriber tech channel. https://groups.google.com/a/chromium.org/g/blink-dev/c/OkdLUyYmY1E/m/YJrsadYKDQAJ #websec #breach #youtube #chrome #ltt #hacked

„Klienci GoAnywhere padają jak muchy”. Krytyczna, aktywnie exploitowana podatność w GoAnywhere MFT.

Tytułowy GoAnywhere MFT reklamowany jest tak: Safeguard file transfers and meet all your IT security and compliance requirements using modern encryption technology and authentication methods. GoAnywhere provides enterprise-level security features to protect your files from internal and external risks and helps organizations and professionals alike comply with regulations, standards, and...

#WBiegu #Rce #Websec
https://sekurak.pl/klienci-goanywhere-padaja-jak-muchy-krytyczna-aktywnie-exploitowana-podatnosc-w-goanywhere-mft/

Uploadem złośliwego avatara można było czytać pliki z serwerów hackerone.com. Nagroda – $25000.

Całość okazała się być prosta jak… wykorzystanie luki w bibliotece ImageMagick, o której pisaliśmy niedawno (CVE-2022-44268). Luka polega na tym, że po uploadzie mniej więcej następującego pliku… … jeśli jest on przetwarzany po stronie serwerowej przez podatny ImageMagick, to wynikowy plik zawierał będzie zawartość /etc/passwd z serwera: When ImageMagick parses...

#WBiegu #Websec
https://sekurak.pl/uploadem-zlosliwego-avatara-mozna-bylo-czytac-pliki-z-serwerow-hackerone-com-nagroda-25000/

I have mentioned the huge increase in random account signups on WordPress installations all over the world. Previously,
I speculated if this was part of some sort of vulnerability they tried to abuse to get access to the site.
From further investigation, it seems like there is a new pattern where the ones signing up uses a "spam" username like:

SBERBANK OPROS 724 637 RYB telegram - @sibbnk

The Numbers are random, and the SBERBANK seems to be TINKOFF (and a few others) from time to time.
It seems like they want to be able to either use it to get the username listed like e.g. here https://www.bahzani.net/?author=5 or here https://talentoaguila.com/candidate/sberbank-opros-412-311-ryb-telegram-sibbnk/ or maybe automate posting comments to all the many sites.
Searching on Google for "sibbnk" reveals a lot of sites with the same bank. Searching on @duckduckgo does however give a list of different banks that could be belated (it could also just be some username or tag of the attacker).
The IP and email domain is mostly Russian, but the email address itself seem to be disabled (often due to some limit on how many messages they can receive per hour) or simply non-existent. At least in most cases.

Any of you that have an idea what they try to achieve with adding these tags on all these sites?
#wordpress #spam #attack #usersignup #infosec #websec

W banalny sposób(*) zarobił $15 000 – zgłosił tę podatność do Snapchata

Snapchat posiada tzw. wyróżnione video: Snapchat has viral video feature callled spotlight Snapchat posiada też program bug bounty. A w programie bug bounty ktoś zgłosił następującą podatność: Delete anyone’s content spotlight remotely. Wykorzystanie podatności było rzeczywiście banalne, pod warunkiem że poświęciliśmy trochę czasu i spojrzeliśmy na żądanie HTTP zawierające następującego...

#WBiegu #BugBounty #IDOR #Websec
https://sekurak.pl/w-banalny-sposob-zarobil-15-000-zglosil-te-podatnosc-do-snapchata/

High rate of random WordPress account signups today compared to the past weeks. Most of them seem to originate from Russia. Seen across 30ish WordPress installations in different business areas (all using WooCommerce though).
#wordpress #security #signup #stats #infosec #websec

Jak czasem można ominąć zabezpieczenie oferowane przez JWT? Metoda, którą może zastosować nawet 10-latek :-)

Ekipa z GitHub Security Lab postanowiła ostatnio przeaudytować projekt Datahub. Wśród licznych znalezisk mamy również takie: Missing JWT signature check (CVE-2022-39366) CVSS: 9.9 Obeznani z tematyką JWT już wiedzą co się tutaj święci. No więc tak… we wspomnianym systemie można było w payloadzie tokenu JWT umieścić absolutnie wszystko, a podpis takiego...

#WBiegu #JsonWebToken #Jwt #Websec
https://sekurak.pl/jak-czasem-mozna-ominac-zabezpieczenie-oferowane-przez-jwt-metoda-ktora-moze-zastosowac-nawet-10-latek/

Operator płatności Stripe – rabaty można było naliczać w nieskończoność. Podatność zgłoszona w ramach bug bounty.

Tym razem ciekawa podatność ze świata webowego. Jeden z klientów Stripe otrzymał całkiem niezłą promocję – całkowity brak opłat od transakcji, ale tylko dla sumarycznej kwoty transakcji do $20000. Postanowił zaakceptować taką ofertę (przesłaną przez Stripe) ale jednocześnie przechwycić żądanie HTTP z przeglądarki za pomocą narzędzia Burp Suite. Następnie badacz...

#WBiegu #BugBounty #Websec
https://sekurak.pl/operator-platnosci-stripe-rabaty-mozna-bylo-naliczac-w-nieskonczonosc-podatnosc-zgloszona-w-ramach-bug-bounty/

If you had a command that printed the contents of a serialized session cookie, how would you want to see the deserialized data displayed?
#bugbountyhunters #websec

Just dropped our paper on eprint: OpenPubkey

#OpenPubkey adds user-held public keys into OpenID Connect without breaking compatibility. This means users can create digital signatures on the web that are associated with their ID Tokens. Fully signed APIs here we come.

Our protocol is so compatible with existing IDPs that not only have we been using it in production with Google, Okta, and Microsoft IDPs for over a year, but that IDPs can't even tell that OpenPubkey is being used!

#OIDC #JSON #JWS #websec

https://eprint.iacr.org/2023/296.pdf

Kuriozalna podatność w urządzeniu FortiNAC. W banalny sposób atakujący może otrzymać roota bez uwierzytelnienia

Z naszych doświadczeń – bezpieczeństwo paneli webowych urządzeń sieciowych (nie tylko Fortinetu) – delikatnie mówiąc – nie należy do najlepszych. Szczególnie martwi to jednak w przypadku sprzętu zapewniającego bezpieczeństwo – a do takich należy FortiNAC (Network Access Control). Szczegóły załatanej niedawno podatności możecie prześledzić tutaj. Na szczęście czytasz właśnie sekuraka...

#WBiegu #Iot #Rce #Upload #UrządzeniaSieciowe #Websec
https://sekurak.pl/kuriozalna-podatnosc-w-urzadzeniu-fortinac-w-banalny-sposob-atakujacy-moze-otrzymac-roota-bez-uwierzytelnienia/

Szybki recon i zainkasował od Apple $10 000 w ramach bug bounty. Dłuższy recon i znalazł wykonanie poleceń w OS na serwerze Apple

Krótki news do kawy dla technicznych czytelników :-) Badacz na początek wziął w jedną dłoń Shodana z takimi filtrami „ssl:apple.com”, „org:Apple Inc*”, „ssl:apple” i udało mu się zlokalizować usługę: Cisco Smart Install Jak wiadomo, każda duża firma wszystko solidnie łata ;-) Zatem badacz wziął w drugą dłoń kilkuletnie już narzędzie...

#WBiegu #Recon #Websec
https://sekurak.pl/szybki-recon-i-zainkasowal-od-apple-10-000-w-ramach-bug-bounty-dluzszy-recon-i-znalazl-wykonanie-polecen-w-os-na-serwerze-appla/

Krytyczna podatność we wszystkich Joomla! 4.x Można bez uwierzytelnienia dostać się do API (pobrać np. użytkownika / hasło do bazy danych)

Opis podatności wygląda dość niepokojąco: Core – Improper access check in webservice endpoints / Impact: Critical Podatne są wszystkie wersje Joomla: 4.0.0-4.2.7 (łatka została przygotowana w wersji 4.2.8). Pokazały się już pierwsze PoCe (tzn. exploity) – prezentujące jak np. prostym żądaniem z przeglądarki wyświetlić parametry konfiguracyjne serwisu zbudowanego w oparciu...

#WBiegu #Joomla #Websec
https://sekurak.pl/krytyczna-podatnosc-we-wszystkich-joomla-4-x-mozna-bez-uwierzytelnienia-dostac-sie-do-api-pobrac-np-uzytkownika-haslo-do-bazy-danych/

Raport ze zgłoszenia podatności: dostęp do wrażliwych danych użytkowników aplikacji IVECO ON

Jeden z czytelników sekuraka przesłał nam opis ciekawego znaleziska (znalezisk) w aplikacji IVECO ON. Dla pewności – obecnie wszystkie wskazane podatności są obecnie załatane. Aplikacja jest globalna a IVECO wylicza tak jej zalety. Mamy tutaj: Informacje na temat floty  oceny stylu jazdy, emisji CO2 w celu poprawy ogólnej wydajności i zrównoważonego rozwoju. Można również monitorować...

#WBiegu #IDOR #Iveco #Websec
https://sekurak.pl/raport-ze-zgloszenia-podatnosci-dostep-do-wrazliwych-danych-uzytkownikow-aplikacji-iveco-on/

Jak w prosty sposób można było przejąć dostęp do dysków sieciowych Western Digital My Cloud Pro Series PR4100

Tutaj opis historycznych już podatności w pewnych dyskach sieciowych WD: Western Digital My Cloud Pro Series PR4100 (PR4100), on firmware versions up to and including 2.40.157 Po pierwsze – badacze namierzyli zatwardowklepane hasła: Zatem hashcat w dłoń i okazuje się, że hasło nobody jest… puste! No więc logowanie przez ssh, a...

#WBiegu #Api #Iot #Rest #Websec
https://sekurak.pl/jak-w-prosty-sposob-mozna-bylo-przejac-dostep-do-dyskow-sieciowych-western-digital-my-cloud-pro-series-pr4100/