#Github #Access_Token #Exposure
یه شکارچی باگ در HackerOne بواسطه بازبینی برنامه Electron App Mode وبسایت Shopify توانسته 50.000 هزار دلار جایزه دریافت کنه،
اما آسیب پذیری داستان کجا بوده ؟ ایشون بواسطه یک پکیج با نام npx که مخصوص npm هستش فایلی با نام app.asar رو استخراج کرده و متوجه شده که یک فایل env. وجود داره که اول توجهی نکرده بهش و فکر میکرده که اطلاعات پیکربندی معمولی صرفا هست، اما زمانی که Source Code برنامه رو بررسی کرده متوجه شده که اصلا از این env. جایی استفاده نشده و خلاصه میره و این فایل رو هم بررسی میکنه،
در اثر این بررسی یک متغییر با نام GH_TOKEN میبینه که حدس میزنه API Token دسترسی به Repository برنامه های Shopify بوده و خلاصه روی سرویس REST API وبسایت Github درخواست با تنظیم هدرهای مربوطه ارسال میکنه و میبینه که بله این Token کاملا صحیحه و خب این یک Expose حساب میشه،
مرحله بهره برداری ایشون هم اینه که دسترسی خواندن و نوشتن روی Repositories این شرکت رو دارا بوده، نوش جونش ما که بخیل نیستیم :)
https://hackerone.com/reports/1087489
@Unk9vvN
یه شکارچی باگ در HackerOne بواسطه بازبینی برنامه Electron App Mode وبسایت Shopify توانسته 50.000 هزار دلار جایزه دریافت کنه،
اما آسیب پذیری داستان کجا بوده ؟ ایشون بواسطه یک پکیج با نام npx که مخصوص npm هستش فایلی با نام app.asar رو استخراج کرده و متوجه شده که یک فایل env. وجود داره که اول توجهی نکرده بهش و فکر میکرده که اطلاعات پیکربندی معمولی صرفا هست، اما زمانی که Source Code برنامه رو بررسی کرده متوجه شده که اصلا از این env. جایی استفاده نشده و خلاصه میره و این فایل رو هم بررسی میکنه،
در اثر این بررسی یک متغییر با نام GH_TOKEN میبینه که حدس میزنه API Token دسترسی به Repository برنامه های Shopify بوده و خلاصه روی سرویس REST API وبسایت Github درخواست با تنظیم هدرهای مربوطه ارسال میکنه و میبینه که بله این Token کاملا صحیحه و خب این یک Expose حساب میشه،
مرحله بهره برداری ایشون هم اینه که دسترسی خواندن و نوشتن روی Repositories این شرکت رو دارا بوده، نوش جونش ما که بخیل نیستیم :)
https://hackerone.com/reports/1087489
@Unk9vvN
#ZeroTrust #Access Model
این روزها شاهد رخداد خرابکاری در #صداوسیما هستیم که گفته میشود این خرابکاری ها هک نیست
اولین نکته ای که میبایست در پاسخ به این موضوع مطرح کرد، این است که زمانی که هدف یک خرابکاری در نهایت یک سیستم دیجیتالی است که میتواند یک کامپیوتر باشد یا برای مثال یک دستگاه PLC در فضای صنعتی یا یک بیلبورد تبلیغاتی مبتنی بر Arduino، میتوان آنرا هک نامید
تیم های امنیت دفاعی سایبری علاوه بر اعمال سیاست های ضد بدافزاری و مقابله تکنیکی تاکتیکی مبتنی بر علوم کامپیوتر، میبایست سیاست های کنترل سطح دسترسی و همچنین دسترسی فیزیکی و احراز افراد در سازمان را هم بواسطه مدل هایی مانند Zero Trust Acess و محصولاتی همچون PAM تعیین کنند
برای مثال مایکروسافت در Workshop آموزش میدهد که چگونه مدل های پیاده سازی Zero Trust را مدیران امنیت اطلاعات انجام دهند.
اما نتیجه اینکه زمانی که در کنداکتور پخش یک شبکه تلویزیونی یک داده غیر نرمال از نظر سازمان قربانی بواسطه نیروی انسانی نفوذی وارد میشه به این معنی هست که تیم امنیتی پروسه تصدیق داده و کنترل سطح دسترسی به سیستم های کلیدی رو درست پیاده سازی نکرده است.
@Unk9vvN
این روزها شاهد رخداد خرابکاری در #صداوسیما هستیم که گفته میشود این خرابکاری ها هک نیست
اولین نکته ای که میبایست در پاسخ به این موضوع مطرح کرد، این است که زمانی که هدف یک خرابکاری در نهایت یک سیستم دیجیتالی است که میتواند یک کامپیوتر باشد یا برای مثال یک دستگاه PLC در فضای صنعتی یا یک بیلبورد تبلیغاتی مبتنی بر Arduino، میتوان آنرا هک نامید
تیم های امنیت دفاعی سایبری علاوه بر اعمال سیاست های ضد بدافزاری و مقابله تکنیکی تاکتیکی مبتنی بر علوم کامپیوتر، میبایست سیاست های کنترل سطح دسترسی و همچنین دسترسی فیزیکی و احراز افراد در سازمان را هم بواسطه مدل هایی مانند Zero Trust Acess و محصولاتی همچون PAM تعیین کنند
برای مثال مایکروسافت در Workshop آموزش میدهد که چگونه مدل های پیاده سازی Zero Trust را مدیران امنیت اطلاعات انجام دهند.
اما نتیجه اینکه زمانی که در کنداکتور پخش یک شبکه تلویزیونی یک داده غیر نرمال از نظر سازمان قربانی بواسطه نیروی انسانی نفوذی وارد میشه به این معنی هست که تیم امنیتی پروسه تصدیق داده و کنترل سطح دسترسی به سیستم های کلیدی رو درست پیاده سازی نکرده است.
@Unk9vvN