Upgrade to Pro — share decks privately, control downloads, hide ads and more …

31337

Bo0oM
May 01, 2022
Technology
0
96

 31337

Web applications always operate with numbers. However, things don’t always go the way developers intended. Let’s discuss abnormal cases of working with number values and talk about exploiting vulnerabilities using them.

Bo0oM

May 01, 2022
Tweet

More Decks by Bo0oM

See All by Bo0oM
Защита от вредоносной автоматизации сегодня
bo0om
0
420
Defending against automatization using nginx
bo0om
0
710
Antibot pitch deck
bo0om
0
98
Your back is white
bo0om
0
240
FTP2RCE
bo0om
0
6.9k
Interpret it!
bo0om
0
1k
At Home Among Strangers
bo0om
1
3.4k
2000day in Safari
bo0om
2
2k
Partyhack 3.0 - Telegram bugbounty writeup
bo0om
0
3.9k

Other Decks in Technology

See All in Technology
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
0
180
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
260
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
2
450
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
350
テストプロセスで大事にしていること #jasstnano
makky_tyuyan
0
160
SIEMを用いて、セキュリティログ分析の可視化と分析を実現し、PDCAサイクルを回してみた
coconala_engineer
0
280
開発生産性向上サービスを作るFindyが自分たちで開発生産性を爆上げした組織づくりの歩み / Findy's path to boosting its own development productivity 2024-04-17
ma3tk
3
610
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
5
430
Databricks における 『MLOps』
databricksjapan
2
170
Oracle Cloud Infrastructure:2024年4月度サービス・アップデート
oracle4engineer
PRO
1
190
Compose Compiler Metricsを使った実践的なコードレビュー
tomorrowkey
1
220
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
1.3k

Featured

See All Featured
Creatively Recalculating Your Daily Design Routine
revolveconf
210
11k
Infographics Made Easy
chrislema
238
18k
Typedesign – Prime Four
hannesfritz
36
2.1k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
274
13k
Statistics for Hackers
jakevdp
789
220k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
A better future with KSS
kneath
231
16k
Rails Girls Zürich Keynote
gr2m
91
13k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
Art, The Web, and Tiny UX
lynnandtonic
289
19k
Faster Mobile Websites
deanohume
299
30k

Transcript

  1. Anton Lopanitsyn

  2. Ошибки округления Скажем, злоумышленник переводит 0,29 рубле й в доллары

    США. При стоимости одного доллара в 60 рубле й , сумма в 0,29 рубле й соответствует 0,00483333333333333333333333333333 долларов. Данная сумма будет округлена до двух знаков после запято й , т. е. до 0,01 доллара (один цент). Затем злоумышленник переводит 0,01 доллара обратно в рубли и получает 0,60 рубле й . Таким образом злоумышленник «выигрывает» 0,31 рубле й . ZN 2013
  3. None

  4. Минусовые значения. Пример из ДБО Создаем платежку на -1,000,000 Бухгалтером

    подписываем платежку Получаем на счет +1,000,000
  5. None

  6. Экспоненциальная запись числа <?php 
 $a = 1e10; $b =

    500; $a - $b; // 9999999500

  7. •Например, WebMoney абсолютно нормально воспринимает сумму платежа со значением 1e1

    или 0xFF, а сравнение подобных чисел, еще и на старых версиях PHP, еще и с учетом нюансов сравнения в языке PHP, приводило к самым неожиданным последствиям.
  8. None
  9. None
  10. None

  11. Олды помнят 2^32 = 4,294,967,296 vk.com/id1 == vk.com/id4294967297

  12. Page.asp?id=%27%22%3c%3e <Title>&#x27;&#x22;&#x3c;&#x3e;… Page.asp?id=%Z1%TS <Title>Йђ

  13. Page.asp?id=%Z1%OT <Title>Йђ Page.asp?id=%XX%XX%XX%XX%XX%XX%XX%XX… <Title></Title><img/src…

  14. Тест-кейсы Разные системы счисления и экспонента Отрицательные числа и с

    знаком + Умножения, деление (в том числе на 0) Граничные и числа с переполнением для разной разрядности Заведомо некорректные (это ж фаззинг) числа с множественными точками True, False, NULL, NaN, NIL, None, undefined

  15. Большие числа (прост история для бара)

  16. Предсказуемость чисел в ПГСЧ Рекомендую доклады по поломке ПГСЧ от

    Positive Technologies (запрещенная в США организация) https://habr.com/ru/company/pt/blog/156133/ https://habr.com/ru/company/pt/blog/149746/ https://xakep.ru/2018/04/12/ethereum-cheating/ https://static.ptsecurity.com/phdays/presentations/phdays-9-luarocks- vulnerabilities.pdf (из последнего)
  17. None

  18. Timestamp Коды восстановления пароля Кастомные сессионные идентификаторы (как в вебе,

    так и в мобильном приложении) Имена файлов, идентификаторы сообщений и прочих объектов Собственные имплементации (псевдо) хэширования и криптографии

  19. Случайности не случайны Восстановление пароля Код восстановления пароля: 96318231973159 Или

    перейдите по ссылке. Удалите письмо, если вы не запрашивали смену пароля, бла-бла

  20. Sort

  21. None

  22. Используя методы отправки запросов для эксплуатации состояния гонки (race condition),

    было отправлено несколько токенов. Идея была в том, что отправив два запроса на восстановление пароля, на собственную почту и жертве, придут одинаковые или минимально различимые коды. 
 После множества попыток было получено максимальное приближение: 
 Почта 1: 56794300990116 
 Почта 2: 56756301990116

  23. Запрашиваем пароль. Смотрим, что в ответе веб-приложения есть заголовок Date:

    Date: Mon, 08 Jun 2020 08:14:10 GMT Переводим эту дату в timestamp. В данном случае это будет 1591604050. Сравниваем с полученным кодом - 50501015409368. (А теперь посмотри на цифры внимательно).

  24. 50501015409368 1591604050

  25. 00001134555689 0001145569 Код восстановления - 50501015409368, это время 1591604050 +

    5038, где 4 цифры либо что-то случайное, либо миллисекунды.

  26. В результате было собрано около 150 токенов восстановления и значений

    времени 


  27. В результате было собрано около 150 токенов восстановления и значений

    времени: 

  28. None

  29. Exploit

  30. Заливаешь файл, получаешь ссылку /docs/download/ 5c0a32b42a390d33023363eb.pdf Твои действия?

  31. Заливаешь файл, получаешь ссылку /docs/ download/5c0a32b42a390d33023363eb.pdf Думаешь, заливаешь второй /docs/download/5c0a2af62a390d3302335b57.pdf

  32. 5c0a0f142a390d3302333cdd Timestamp, контролируешь его изменение Идентификатор тачки, узнается заранее PID

    Инкремент

  33. Другой вариант: /?id=61254cb7e45f08fea8024c0d /?id=61254cb4451630ba8aedcdbf

  34. 61254cb4451630ba8aedcdbf ??)

  35. Приведения типов

  36. Аккуратнее с фаззингом чисел

  37. TL;DR • Используем мутирующие фаззеры для тестирования веб- приложений, как

    это делают бинарщики. Есть простор для мутаций чисел и поисков аномалий в их обработке (сравнении, изменении) • Случайности не случайны, если не используются криптографически безопасные алгоритмы • Nodejs и прочие ребята с приведениями типов вообще отдельная тема

  38. https://bo0om.ru https://t.me/webpwn https://twitter.com/i_bo0om