Upgrade to Pro — share decks privately, control downloads, hide ads and more …

31337

Bo0oM
May 01, 2022
Technology
0
120

 31337

Web applications always operate with numbers. However, things don’t always go the way developers intended. Let’s discuss abnormal cases of working with number values and talk about exploiting vulnerabilities using them.

Bo0oM

May 01, 2022
Tweet

More Decks by Bo0oM

See All by Bo0oM
Защита от вредоносной автоматизации сегодня
bo0om
0
490
Defending against automatization using nginx
bo0om
0
760
Antibot pitch deck
bo0om
0
110
Your back is white
bo0om
0
290
FTP2RCE
bo0om
1
7.2k
Interpret it!
bo0om
0
1.1k
At Home Among Strangers
bo0om
1
3.7k
2000day in Safari
bo0om
2
2.1k
Partyhack 3.0 - Telegram bugbounty writeup
bo0om
0
3.9k

Other Decks in Technology

See All in Technology
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
150
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.6k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k
RubyのWebアプリケーションを50倍速くする方法 / How to Make a Ruby Web Application 50 Times Faster
hogelog
3
940
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
550
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110
元旅行会社の情シス部員が教えるおすすめなre:Inventへの行き方 / What is the most efficient way to re:Invent
naospon
2
340
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.3k
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470

Featured

See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Stop Working from a Prison Cell
hatefulcrawdad
267
20k
How to Ace a Technical Interview
jacobian
276
23k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Building Your Own Lightsaber
phodgson
103
6.1k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
24k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Code Reviewing Like a Champion
maltzj
520
39k
A Tale of Four Properties
chriscoyier
156
23k
For a Future-Friendly Web
brad_frost
175
9.4k

Transcript

  1. Anton Lopanitsyn

  2. Ошибки округления Скажем, злоумышленник переводит 0,29 рубле й в доллары

    США. При стоимости одного доллара в 60 рубле й , сумма в 0,29 рубле й соответствует 0,00483333333333333333333333333333 долларов. Данная сумма будет округлена до двух знаков после запято й , т. е. до 0,01 доллара (один цент). Затем злоумышленник переводит 0,01 доллара обратно в рубли и получает 0,60 рубле й . Таким образом злоумышленник «выигрывает» 0,31 рубле й . ZN 2013
  3. None

  4. Минусовые значения. Пример из ДБО Создаем платежку на -1,000,000 Бухгалтером

    подписываем платежку Получаем на счет +1,000,000
  5. None

  6. Экспоненциальная запись числа <?php 
 $a = 1e10; $b =

    500; $a - $b; // 9999999500

  7. •Например, WebMoney абсолютно нормально воспринимает сумму платежа со значением 1e1

    или 0xFF, а сравнение подобных чисел, еще и на старых версиях PHP, еще и с учетом нюансов сравнения в языке PHP, приводило к самым неожиданным последствиям.
  8. None
  9. None
  10. None

  11. Олды помнят 2^32 = 4,294,967,296 vk.com/id1 == vk.com/id4294967297

  12. Page.asp?id=%27%22%3c%3e <Title>&#x27;&#x22;&#x3c;&#x3e;… Page.asp?id=%Z1%TS <Title>Йђ

  13. Page.asp?id=%Z1%OT <Title>Йђ Page.asp?id=%XX%XX%XX%XX%XX%XX%XX%XX… <Title></Title><img/src…

  14. Тест-кейсы Разные системы счисления и экспонента Отрицательные числа и с

    знаком + Умножения, деление (в том числе на 0) Граничные и числа с переполнением для разной разрядности Заведомо некорректные (это ж фаззинг) числа с множественными точками True, False, NULL, NaN, NIL, None, undefined

  15. Большие числа (прост история для бара)

  16. Предсказуемость чисел в ПГСЧ Рекомендую доклады по поломке ПГСЧ от

    Positive Technologies (запрещенная в США организация) https://habr.com/ru/company/pt/blog/156133/ https://habr.com/ru/company/pt/blog/149746/ https://xakep.ru/2018/04/12/ethereum-cheating/ https://static.ptsecurity.com/phdays/presentations/phdays-9-luarocks- vulnerabilities.pdf (из последнего)
  17. None

  18. Timestamp Коды восстановления пароля Кастомные сессионные идентификаторы (как в вебе,

    так и в мобильном приложении) Имена файлов, идентификаторы сообщений и прочих объектов Собственные имплементации (псевдо) хэширования и криптографии

  19. Случайности не случайны Восстановление пароля Код восстановления пароля: 96318231973159 Или

    перейдите по ссылке. Удалите письмо, если вы не запрашивали смену пароля, бла-бла

  20. Sort

  21. None

  22. Используя методы отправки запросов для эксплуатации состояния гонки (race condition),

    было отправлено несколько токенов. Идея была в том, что отправив два запроса на восстановление пароля, на собственную почту и жертве, придут одинаковые или минимально различимые коды. 
 После множества попыток было получено максимальное приближение: 
 Почта 1: 56794300990116 
 Почта 2: 56756301990116

  23. Запрашиваем пароль. Смотрим, что в ответе веб-приложения есть заголовок Date:

    Date: Mon, 08 Jun 2020 08:14:10 GMT Переводим эту дату в timestamp. В данном случае это будет 1591604050. Сравниваем с полученным кодом - 50501015409368. (А теперь посмотри на цифры внимательно).

  24. 50501015409368 1591604050

  25. 00001134555689 0001145569 Код восстановления - 50501015409368, это время 1591604050 +

    5038, где 4 цифры либо что-то случайное, либо миллисекунды.

  26. В результате было собрано около 150 токенов восстановления и значений

    времени 


  27. В результате было собрано около 150 токенов восстановления и значений

    времени: 

  28. None

  29. Exploit

  30. Заливаешь файл, получаешь ссылку /docs/download/ 5c0a32b42a390d33023363eb.pdf Твои действия?

  31. Заливаешь файл, получаешь ссылку /docs/ download/5c0a32b42a390d33023363eb.pdf Думаешь, заливаешь второй /docs/download/5c0a2af62a390d3302335b57.pdf

  32. 5c0a0f142a390d3302333cdd Timestamp, контролируешь его изменение Идентификатор тачки, узнается заранее PID

    Инкремент

  33. Другой вариант: /?id=61254cb7e45f08fea8024c0d /?id=61254cb4451630ba8aedcdbf

  34. 61254cb4451630ba8aedcdbf ??)

  35. Приведения типов

  36. Аккуратнее с фаззингом чисел

  37. TL;DR • Используем мутирующие фаззеры для тестирования веб- приложений, как

    это делают бинарщики. Есть простор для мутаций чисел и поисков аномалий в их обработке (сравнении, изменении) • Случайности не случайны, если не используются криптографически безопасные алгоритмы • Nodejs и прочие ребята с приведениями типов вообще отдельная тема

  38. https://bo0om.ru https://t.me/webpwn https://twitter.com/i_bo0om