Uma revisão sobre as melhores técnicas de hacking na internet (Parte 2)

Na semana pasada publicamos a primeira parte do ranking de melhores técnicas de hacking de 2018 e hoje continuamos o trabalho. Para recordar, se trata de uma classificação semelhante ao OWASP Top 10, mas focada em ressaltar técnicas associadas as aplicações web publicadas durante 2018. A segurança na internet está em constante evolução. Todos os dias são publicadas novas falhas em frameworks, bibliotecas e aplicações conhecida, muitas delas não chegam a merecer a publicação de um CVE e algumas dessas vulnerabilidades são utilizadas para melhorar técnicas de hacking já existentes.

5.- Attacking ‘Modern’ Web Technologies

O investigador Fran Rosen apresentou uma palestra na conferência AppSec Europe, organizada pela OWASP, em que reviu as técnicas de exploração em novas capacidades daquilo que chamado de internet moderna, baseada principalmente em APIs de persistência e websockets. Uma palestra que não deixará você tranquilo, sobretudo porque vai te fazer entender que estamos em uma nova era onde as injeções clássicas ou inclusões de arquivos locais se tornaram antiquadas (ainda não tenham caído em desuso).

Nesse caso de uso, Olivier Arteau encontra uma forma interessante de executar código de maneira arbitrária em aplicações NodeJS, que nos leva para “dentro” do servidor através da exploração da propriedade proto do objeto predefinido “object” na linguagem JavaScript, algo que até agora só era considerado no lado do cliente.

Nessa pesquisa, Louis Dion-Marcil nos mostra o exploit ESI (Edge Side Include), uma linguagem baseada em XML que permite indicar aos proxys cache se partes de uma página devem ou não ser “cacheadas”. A técnica permitiu ao pesquisador executar ataques SSRF (Server Side Requests Forgery), evadindo a proteção HTMLOnly que impede a manipulação de cookies com JavaScript.

A vice-campeã da nossa lista vem de James Kettle, empregado da PortSwigger e, ainda que em um primeiro momento ele próprio a tenha descartado, a comunidade decidiu que sua qualidade era merecedora da classificação (abrindo uma exceção à regra de impedir empregados da empresa de participar do próprio ranking).
Ele conseguiu descobrir uma maneira de explorar o cache web (isso mesmo, o mesmo do item 3) para compromete-la, injetando conteúdo arbitrário em hosts terceiros. Uma técnica ímpar que tem grande impacto na arquitetura de soluções web atuais.

A técnica vencedora desse ano foi apresentada na DEF CON do ano passado por Orange Tsai. A nova técnica de exploração está baseada na normalização de rotas que, ainda que tenham o objetivo de adequar o uso de URLs e evitar explorações, se torna ineficiente por sua complexidade e implementações múltiplas. Desde frameworks e bibliotecas até linguagens de programação, cada implementação particular da normalização de rotas esconde um potencial problema de segurança. Em alguns casos, se aproveitar da falha é um processo simples, que causam impactos que vão desde a evasão de restrições e controles até a execução remota de códigos.

Não perca de vista todo o trabalho do Orange Tsai, que também ganhou a edição 2017 desse ranking.

Esse é a nossa revisão das melhores técnicas de 2018 em segurança para web. Como pudemos ver, as técnicas estão cada vez mais complexas, acompanhando o grau de evolução vertiginoso das aplicações para a internet. Tanto para um pesquisador de segurança, quanto para um auditor ou devops, que tenha se comprometido a defender qualquer infraestrutura, é crucial estar atualizado com estes tipos de técnicas, porque é certo que elas serão utilizadas em algum momento contra sistemas e aplicações.