Taki dość interesujący problem mi się pojawił ze styku #siecikomputerowe i #programowanie #webdev. Jest sobie urządzenie sieciowe, zarządzane zarówno przez SSH, jak i przez WEB GUI. Jeden z klientów mojego pracodawcy (IT/Telecom) postanowił zrobić coś z bezpieczeństwem sieci i zamiast jak wszyscy inni używać jednego hasła dla wszystkich takich urządzeń, albo wręcz zostawić domyślne hasło "password" (szokujące, jak wielu naszych klientów tak robi, poważne firmy telekomunikacyjne), zaczęli generować losowe hasła dla każdego urządzenia osobno. No i znaleźli nam buga :) Bug polega na tym, że istnieją hasła, które znakomicie działają po SSH, jednak gdy się je ustawi przez GUI, traci się dostęp do urządzenia. Moje pierwsze podejrzenie, to że udało się im trafić w zestaw znaków, który zawiera w sobie jakiś kod sterujący HTML czy cóś i wysyłany ze strony www dochodzi do urządzenia w zmienionej formie. Przykład takiego źle działającego hasła: P6Kr5RK&A)esV* - czy ktoś z was drodzy specjaliści od HTML widzi w tym stringu coś, co może tu być problemem?
@Jarek_P: brak "escapowania" danych i wystepuje blad, sprobuj wpisac w ssh np. jako haslo P6Kr5RK&A)esV* bez "", to tez nie przyjmie calego ciagu ze wzgledu na ). Zaloguj sie portem szeregowym do konsoli i zobacz logi.
@brakloginuf: właśnie w tym sęk, że gdy to hasło ustawiam z poziomu ssh, to przechodzi bez pudła, bez żadnych cudzysłowów i tym podobnych. NIe mówimy o gołym linuksie, tylko o systemie operacyjnym urządzenia, logi rzecz jasna są, ale w obu przypadkach widnieje w nich jedynie adnotacja, że zmieniono hasło, nic więcej. Hasło zresztą zostaje zmienione, tylko że na inne, niż zostało wpisane, stąd podejrzenie, że przesyłane z WEBa zmienia się po
@Jarek_P: producent pożałował na implementacje od strony www, nic szczególnego. DPD w swoim serwisie ma ograniczenie do 8 znaków a w tym litery małe i duże tylko, zauważyłem to kiedy przez apke do obsługi ich automatów zakładałem konto. Hasło z generatora 20 znakowe ze wszystkimi możliwymi kombinacjami. Aplikacja hasło oczywiście przyjmuje ale już się nie zalogujesz. Przez www to samo, za to 8 znakowe wchodzi jak w masło
no tak, bo wcale nie dziala na linuxie i innym oprogramowaniu open source
@brakloginuf: kurna, skup się: tak, działa na linuksie, ja jednak operuję na urządzeniu wyłącznie przez nakładkę. Logi też widzę tylko takie, które zbiera owa nakładka, nie mam dostępu do innych.
dramat, wolaj dalej specjalistow od htmla xD
@brakloginuf: tak, dzięki za pomoc. Tylko może już nie pomagaj, jeśli masz pomagać w ten sposób.
@Jarek_P: przerażające jak wiele firm nie pokrywa testami kluczowych elementów systemu.
Ustalcie zestaw znaków jakie mogą być wykorzystywane jako hasło i napiszcie w końcu testy. Skoro teraz system nie ogarnia losowych danych, to pomyśl co można zrobić preparując złośliwe dane.
W prawdziwym świecie każdy ze znaków specjalnych może w jakiś sposób na jakimś etapie rozwalać najróżniejsze elementy systemu w których zapomniano o sanityzacji danych.
Ustalcie zestaw znaków jakie mogą być wykorzystywane jako hasło i napiszcie w końcu testy
@MilionoweMultikonto: właśnie sęk w tym, że testy skupiają się raczej na zasadniczych dla tych urządzeń sprawach, czyli samym ich działaniu, nikt nie testuje takich pierdół, bo zwyczajnie nie ma na to czasu, management wychodzi z założenia, że najwyżej wyjdzie w praniu. Znamienne jest też to, że urządzenia istnieją w ciężkich tysiącach sztuk na świecie od lat i
@Jarek_P: to norma - w którymś "cywilnym" TP-Linku czy innym D-Linku jawnie dostajesz komunikat, że hasło nie może zawierać znaków specjalnych, tylko litery i cyfry + obowiązkowo jakiś śmieszny limit długości. Nie chciało im się tego obsłuźyc po bożemu, to walidację na UI dowalili i... pora na CSa.
Twój case jest gorszy - hasło przyjmie, ale już go nie użyjesz...
Twój case jest gorszy - hasło przyjmie, ale już go nie użyjesz...
@testuser: no właśnie stąd całe jaja, bo średniej wielkości ISP z UK mi takie zgłoszenie przysłał: po implementacji losowo generowanych haseł w całej sieci stracili dostęp do niektórych obiektów. My jako producent mam swojego backdoora, więc dostęp im przywróciłem piorunem, sposoby na obejście problemu są dwa (nie używać &, zmieniać hasło przez CLI), ale trochę wstyd, że takie numery
@Jarek_P: mialem sytuacje, ze pewne urzadzenia nie akceptowaly dlugich hasel. powiedzmy bylo haslo o 32 znakach, po podaniu go urzadzenie probowalo sie zalogowac o polowe krotszym haslem ale tylko wywalalo blad, ze nie udalo sie zalogowac, nic o dlugosci hasla, ilosci znakow, zadnych objawow ktore by wskazywaly na ten problem. gdy zmienilem haslo logowania w stylu 123dupa czy 16 znakowe wtedy udawalo sie. zeby bylo smieszniej nie byl problem z serwerem
@Jarek_P: co to za producent? ( ͡º͜ʖ͡º) my swego czasu dostaliśmy CPE od pewnego producenta które wyświetlało hasło admina webgui w kodzie strony, wystarczyło kliknąć Pokaż źródło strony ( ͡º͜ʖ͡º)
@tajek: na polskim rynku właściwie w ogóle nieznany: Adtran.
yświetlało hasło admina webgui w kodzie strony,
@tajek: no fajne security. A co powiesz o firmie (nie będę podawał nazwy), która system zgłaszania krytycznych awarii, takich które mają skutkować natychmiastową reakcją ze strony wsparcia technicznego ma po pierwsze oparty na prostym i niczym nie zabezpieczonym systemie mail-to-phone (wysłanie maila na specjalną skrzynkę wywołuje automatyczną akcję dzwonienia na
Jest sobie urządzenie sieciowe, zarządzane zarówno przez SSH, jak i przez WEB GUI. Jeden z klientów mojego pracodawcy (IT/Telecom) postanowił zrobić coś z bezpieczeństwem sieci i zamiast jak wszyscy inni używać jednego hasła dla wszystkich takich urządzeń, albo wręcz zostawić domyślne hasło "password" (szokujące, jak wielu naszych klientów tak robi, poważne firmy telekomunikacyjne), zaczęli generować losowe hasła dla każdego urządzenia osobno. No i znaleźli nam buga :)
Bug polega na tym, że istnieją hasła, które znakomicie działają po SSH, jednak gdy się je ustawi przez GUI, traci się dostęp do urządzenia. Moje pierwsze podejrzenie, to że udało się im trafić w zestaw znaków, który zawiera w sobie jakiś kod sterujący HTML czy cóś i wysyłany ze strony www dochodzi do urządzenia w zmienionej formie.
Przykład takiego źle działającego hasła: P6Kr5RK&A)esV* - czy ktoś z was drodzy specjaliści od HTML widzi w tym stringu coś, co może tu być problemem?
no tak, bo wcale nie dziala na linuxie i innym oprogramowaniu open source
@Jarek_P: dramat, wolaj dalej specjalistow od htmla xD
@brakloginuf: kurna, skup się: tak, działa na linuksie, ja jednak operuję na urządzeniu wyłącznie przez nakładkę. Logi też widzę tylko takie, które zbiera owa nakładka, nie mam dostępu do innych.
@brakloginuf: tak, dzięki za pomoc. Tylko może już nie pomagaj, jeśli masz pomagać w ten sposób.
Ustalcie zestaw znaków jakie mogą być wykorzystywane jako hasło i napiszcie w końcu testy. Skoro teraz system nie ogarnia losowych danych, to pomyśl co można zrobić preparując złośliwe dane.
W prawdziwym świecie każdy ze znaków specjalnych może w jakiś sposób na jakimś etapie rozwalać najróżniejsze elementy systemu w których zapomniano o sanityzacji danych.
@MilionoweMultikonto: właśnie sęk w tym, że testy skupiają się raczej na zasadniczych dla tych urządzeń sprawach, czyli samym ich działaniu, nikt nie testuje takich pierdół, bo zwyczajnie nie ma na to czasu, management wychodzi z założenia, że najwyżej wyjdzie w praniu. Znamienne jest też to, że urządzenia istnieją w ciężkich tysiącach sztuk na świecie od lat i
@Jarek_P: Jeśli to jest obsługiwane jak zwykły html to & oddziela kolejną zmienną
Twój case jest gorszy - hasło przyjmie, ale już go nie użyjesz...
@testuser: no właśnie stąd całe jaja, bo średniej wielkości ISP z UK mi takie zgłoszenie przysłał: po implementacji losowo generowanych haseł w całej sieci stracili dostęp do niektórych obiektów. My jako producent mam swojego backdoora, więc dostęp im przywróciłem piorunem, sposoby na obejście problemu są dwa (nie używać &, zmieniać hasło przez CLI), ale trochę wstyd, że takie numery
my swego czasu dostaliśmy CPE od pewnego producenta które wyświetlało hasło admina webgui w kodzie strony, wystarczyło kliknąć Pokaż źródło strony ( ͡º ͜ʖ͡º)
@tajek: na polskim rynku właściwie w ogóle nieznany: Adtran.
@tajek: no fajne security. A co powiesz o firmie (nie będę podawał nazwy), która system zgłaszania krytycznych awarii, takich które mają skutkować natychmiastową reakcją ze strony wsparcia technicznego ma po pierwsze oparty na prostym i niczym nie zabezpieczonym systemie mail-to-phone (wysłanie maila na specjalną skrzynkę wywołuje automatyczną akcję dzwonienia na
@Jarek_P: dla niektórych mógłby yo być krytyczny problem ( ͡° ͜ʖ ͡°)
widziałem przypadek gdzie formularz zgłoszeniowy nie wysyłał wiadomości - wystarczyło odpowiednią kombinację krzaczków zaznaczyć i cyk zgłoszenie nie dochodziło ( ͡º ͜ʖ͡º)
był tu fajny tag o testach, strasznie życiowy XD