Volt egyszer egy idő, nem is olyan régen, amikor a kedvenc weboldal sérülékenység elemző szoftverem, a Burp Suite Pro 1 hónapos próbaverzióját szinte korlátlanul lehetett igényelni – csak egy új e-mail cím kellett hozzá. A Burp Pro rendszerének akkoriban elég volt annyi, hogy a kérvényezett e-mail cím egy új domainhez tartozzon, például pistike@ordogfioka.hu, és már jött is az aktiváló kód a frissen regisztrált “IT cég” nevében.
Aki egy kicsit is jártas volt a webes biztonság világában, és volt hozzáférése néhány domainhez (vagy épp sokhoz), az könnyen összerakhatott magának egy folyamatosan megújuló Burp Pro hozzáférést. Én személy szerint kb. „X darab” 😉 különböző domainre kértem próbaverziót – és mindig működött.
A játék vége
A módszer annyira kézenfekvő volt, hogy idővel szinte már túl jól működött. Nem csoda, hogy a Burp Pro-t fejlesztő cég a PortSwigger idővel szigorított a rendszeren. Ma már csak ténylegesen létező IT cégek kaphatják meg a próbaverziót – és ha tippelnem kellene, még mindig számít a domain, csak épp már alaposabb háttérellenőrzés is történik.
A legjobb rész? Ők tanítottak meg rá.
A legnagyobb irónia? Hogy ezt a logikát – vagyis a rendszer működésének üzleti oldalú kijátszását – éppen a PortSwigger tanította meg nekem a saját Business Logic Vulnerabilities (Üzleti Logikai Sérülékenységek) labor gyakorlataiban. Ott tanultuk meg felismerni, hogyan lehet egy rendszerrel „korrektül” viselkedve, de a logikáját megkerülve elérni valamit, amit valójában nem akartak engedélyezni.
Tehát gyakorlatilag ők tanították meg, hogyan használjunk ki egy ilyen regisztrációs rendszert. Én pedig alkalmaztam az elvet.
Mit tanulhatunk belőle?
Ez az egész egy jó példa arra, hogy:
- Egy technológiailag jól összerakott rendszer is lehet sérülékeny a logikai hibákra.
- A domain-alapú hitelesítés önmagában semmit nem garantál.
- A valódi korlátozást nem csak technikai eszközök, hanem üzleti szabályok (és azok következetes ellenőrzése) biztosítják.
És végül: mindig legyünk tisztában vele, mit tanítunk, mert a hallgatóink lehet, hogy túl jól megértik a leckét. 😉