Shikata Ga Nai

Private? There is no such things.

Why You Should Always Check The Audit Log [Medium] — $500を訳してみた

Bug Bounty

Hello there, ('ω')ノ

 

監査ログを常にチェックする必要がある理由を。

 

脆弱性:

 情報開示

 

記事:

 https://emanuel-beni.medium.com/why-you-should-always-check-the-audit-log-medium-500-80a778bfbcd6

 

バグの発見は必ずしも複雑なプロセスである必要はなく。

情報漏洩や IDOR などの脆弱性により、Web アプリケーションの技術的な側面に

焦点を当てるのではなく、異常な応答を特定することに

もっと注意を払う必要があり。

 

単純にハードコーディングされたシークレット API キーを発見すると、

重大度が「高」のレポートが表示される可能性があり。

今回は、有名なサイバー セキュリティ会社に関する機密情報ではないと

思われる情報を公開するエンドポイントをどのようにして見つけたかについて。

 

情報開示とはCWE-200 情報漏えいは、機密情報の不正行為者への暴露とも呼ばれ、

機密情報が意図せず一般または無許可の関係者と共有される脆弱性の一種で。

機密情報の範囲には、パスワードやシークレット API キーなどの

従来の機密情報だけが含まれるのではなく、サポート PIN、リカバリ コード、

さらには招待リンクなどの情報も、間違った攻撃者によって発見された場合には

機密情報とみなされて。


ターゲットの理解:

作業を開始する前に、より多くのバグを発見するために、

対象の Web アプリケーションをよく理解することが不可欠で。

Web アプリケーションがどのように流れ、Web アプリケーションに

どのような種類の機能が実装されているかを深く理解することは、

セキュリティ研究者にとって貴重な財産となり。

 

これは、侵入テストの開始時に Web アプリケーションをざっと閲覧し、

Web アプリケーションの機能、機能、フロー、およびそこからどのような種類の

脆弱性が発生する可能性があるかをメモするだけで実行できて。

これにより、プログラムに取り組んでいる他のセキュリティ研究者よりも

強力な立場に立つことができて。

 

前の段落で述べたように、時間をかけて慎重に対象の Web アプリケーションを

理解し、Web アプリケーションに実装されている非常に一般的な機能である

監査ログ機能を発見し。

監査ログ機能は、アカウントに加えられたイベントや変更の詳細な履歴情報を

記録するために企業によって実装される非常に一般的な機能で。

この機能をさらに詳しく調べてみると、ほぼすべてのイベントがその詳細とともに

監査ログに記録されていることがわかり。

 

たとえば、新しいユーザを招待すると、監査ログには、招待されたユーザの

詳細 (電子メール アドレス、名前、時刻など) とともにイベント タイプが表示され。

この情報は今は役に立たないように思えるかもしれませんが、

これをどのように活用できるかを説明することに。

 

侵入テストを進めていくと、ほとんどの企業が備えているもう 1 つの非常に

一般的な機能、招待リンク機能を発見し。

この場合、招待リンク機能を使用すると、管理者ユーザは他のユーザを

組織に招待するために使用できる招待リンクを生成でき。

会社に監査ログ機能があることを知り、すぐに新しい招待リンクを生成し、

詳細が監査ログ ページに公開されているかどうかを確認してみると

驚いたことに、監査ログ機能は実際の招待リンクを明らかにして。

 

ここで、2 つの異なる機能を接続し、招待リンクが実際に監査ログに

開示されていることを確認し。

この時点では、2 つの機能の関係を利用してバグを生成する方法に焦点を

当てる必要があり。 

すべてのセキュリティ研究者に「What Ifs」手法を使用することをお勧めて。

ここでのポイントは、自分の頭脳に挑戦し、Web アプリケーションに

セキュリティ上の脅威となる可能性のある質問をできるだけ多く尋ねることで。

頭に浮かんだ「もしも」の質問は次のとおりで。

 

・アクティブな招待リンクを削除しても、

 監査ログからアクセスできる場合はどうなるか。


・アクティブな招待リンクをオーバーライドしても、オーバーライドされた、

 おそらく削除された招待リンクに監査ログからアクセスできる場合は

 どうなるか。


・権限の低いユーザ、つまり読み取り専用ユーザが監査ログ ページを表示し、

 招待リンクを使用して権限を昇格できる場合はどうなるか。

 

バグにつながる可能性のあるシナリオをすべて検討した後、

それらを 1 つずつテストし。

幸いなことに、3 番目のポイントは真実であることが判明し。

新しい読み取り専用アカウントを作成し、監査ログ ページに

アクセスすることに成功して。

 

ご存知のとおり、読み取り専用アカウントには他のユーザを組織に

招待する機能があってはなりませんが、完全な招待リンクが監査ログ ページで

公開されており、アクセスできたため、読み取り専用アカウントは

招待することができ、他のユーザを組織に追加して。

 

Best regards, (^^ゞ