باگ های کاذب مثبت رایج مایوس کننده هانترها

باگ های کاذب مثبت رایج مایوس کننده هانترها

درحال شکار باگ هستید و خیال می‌کنید که یک باگ منحصربفرد پیدا کرده‌اید. یک گزارش ثبت می‌کنید ولیکن گزارش باگ شما با عنوان مثبت کاذب رد می‌شود! اما اگر اطلاعات کافی درمورد مثبت‌های کاذب رایج داشته باشید در چنین مواقعی زمان زیادی را از دست نخواهید داد. پس بیایید تا به همراه محقق امنیتی کاربلد @Farah_Hawaa به بررسی چند مثال کاربردی در این زمینه بپردازیم.

1.SSRF- پینگ بک‌های خارجی. آیا تابه‌حال URL همکاری Burp را به یک فرم وارد کرده‌اید که از آن پینگ بک دریافت کنید؟ ممکن است سایت فقط یک درخواست HTTPبرای بررسی اعتبار دامنه ارسال کند. همیشه تاثیرات امنیتی را درنظربگیرید، آیا می‌توانید داده‌های حساس را برگردانید یا اندپوینت‌های داخلی را اسکن کنید؟

باگ های کاذب مثبت رایج

2. محدودیت تعداد ورود در صفحات ورود بدون اطلاعات ورود معتبر. یک پنل ورود پیدا کرده اید و سعی دارید با استفاده از اطلاعات ورود به‌زور وارد شوید. هر درخواست بدون هیچ معطلی یک پاسخ یکسان برمی‌گرداند، برای مثال، هیچ محدودیتی در تعداد ورود وجود ندارد. آیا فکر می‌کنید اکنون وقت ثبت یک گزارش باگ هست؟

نه به این زودی! آیا وب‌سایت صفحه ثبت نام دارد؟ آیا اطلاعات ورود صحیح و معتبر دارید؟ اگر جواب شما به این سوالات خیر است، شما هیچ راهی برای اثبات اینکه روی محدودیت تعداد ورود در سمت بک‌اند کار نشده است ندارید. و این یک مثبت کاذب دیگر است.

3.  CORS بدون گزارش عملکرد. شما در حال نگاه کردن به هدر HTTP سایت هدف هستید که متوجه می‌شوید “Access-Control-Allow-   Origin” روی “*” یا “null” تنظیم شده است، که به شما اجازه می دهد تا یک دامنه دلخواه تزریق کنید. قبل از اینکه زیادی هیجان زده شوید، یک بار دیگر اثرات امنیتی را به‌خاطر بیاورید.

هدف بهره برداری از CORS یافتن دسترسی به داده‌های محرمانه است. آیا شما قادر به ساختن لینکی هستید که درصورت ارسال به قربانی، داده های حساس را بازگردانی کند؟ اگر جوابتان بله است، که عالیست، شما یک باگ پیدا کردید ولیکن باید مطمئن شوید که گزارش عملکرد(Proof of Concept) هم داخل گزارش تان درج شود.

4.بسته های S3 باز (Open S3 Buckets). شما یک بسته S3 باز که متعلق به هدف شماست را پیدا کرده‌اید یا پیدا کرده بودید. هر کسی قادر به باز کردن یک بسته S3 را با استفاده از هر نامی است، بنابراین تأیید مالکیت قبل از ادامه کار بسیار مهم است.

باگ های کاذب مثبت رایجمی‌توانید داخل [داخل اسکوپ] منبع JS یا پاسخ‌های HTTP به دنبال مرجع اصلی بسته‌ها بگردید. درنهایت، بازهم به قانون طلایی خودمان مراجعه کنید، اثرات امنیتی را ارزیابی کنید. آیا بسته حاوی اطلاعات حساسی است؟

اگر خواهان کسب اطلاعات بیشتر در زمینه گزارش‌های مثبت کاذب از Farah_Hawaa هستید، تماشای این ویدیو را از دست ندهید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *