"Från XSS till root på apache.org"
Apache.org råkade ut för ett rätt allvarligt intrång förra veckan. Som ni kanske har märkt så gillar jag berättelser om sådant från real-life. Apache.org-bloggen har en write-up där hela förloppet beskrivs och John har en bra på svenska. Glöm inte att läsa bådas slutsatser.
Jag har inte så mycket att tillägga egentligen (därför stal jag Johns rubrik).
Dock. Komplicerade webbapplikationer som t ex JIRA, lider av ungefär samma problem med säkerhet som företagsnätverk gör; de är hårda på utsidan men mjuka och kladdiga på insidan. Så fort du tar dig in innanför brandväggen så är oftast spelet slut, det finns massor av svagheter att utnyttja (läs: attackytan ökar enormt). Samma sak gäller ofta med dessa, större webbapplikationer; så fort du tillskansar dig ett användarkonto (eller beroende på typ av applikation, ett administratörskonto) så ökar attackytan dramatiskt.
Det var precis det som hände i JIRA, en mindre allvarlig sårbarhet som cross-site scripting ledde till ett administratörskonto som gav tillgång till en betydligt allvarligare sårbarhet, köra godtycklig Javakod. Se figur 1 för illustration av analogi.
--
Stefan Pettersson
Jag har inte så mycket att tillägga egentligen (därför stal jag Johns rubrik).
Dock. Komplicerade webbapplikationer som t ex JIRA, lider av ungefär samma problem med säkerhet som företagsnätverk gör; de är hårda på utsidan men mjuka och kladdiga på insidan. Så fort du tar dig in innanför brandväggen så är oftast spelet slut, det finns massor av svagheter att utnyttja (läs: attackytan ökar enormt). Samma sak gäller ofta med dessa, större webbapplikationer; så fort du tillskansar dig ett användarkonto (eller beroende på typ av applikation, ett administratörskonto) så ökar attackytan dramatiskt.
Det var precis det som hände i JIRA, en mindre allvarlig sårbarhet som cross-site scripting ledde till ett administratörskonto som gav tillgång till en betydligt allvarligare sårbarhet, köra godtycklig Javakod. Se figur 1 för illustration av analogi.
Figur 1. Före och efter inloggning.
--
Stefan Pettersson
Kommentarer
Trackback