THREAD

CVE-2026-20817 - Windows Error Reporting (WER) ALPC Privilege Escalation

2026-02-28T14:37:40.006Z

Критическая уязвимость локального повышения привилегий (LPE) в системной службе Windows Error Reporting (WER). Уязвимость позволяет локальному пользователю с низким уровнем прав выполнить произвольный код с максимальными системными привилегиями.

Технический анализ

Поражённые версии: Windows 10, Windows 11, Windows Server 2019/2022 (версии до обновлений безопасности февраля 2026 г.)
Исправленная версия: Обновления безопасности Windows (KB) от февраля 2026 г.
Платформы: Microsoft Windows (x64, ARM64)
Тип уязвимости: CWE-269: Improper Privilege Management (Ненадлежащее управление привилегиями / LPE)
Точка входа: Механизм межпроцессного взаимодействия ALPC службы WerSvc.
Метод эксплуатации:

Установление связи: Атакующий запускает вредоносный процесс с низкими правами и инициирует соединение с портом ALPC, который слушает служба Windows Error Reporting (WerSvc).
Отправка запроса: Отправляется специально сформированное (malformed) сообщение ALPC, имитирующее отчет об ошибке или запрос на диагностику.
Манипуляция ресурсами: Из-за отсутствия должной проверки прав доступа отправителя в коде обработки сообщений, служба WER начинает работу с файлами или ключами реестра, указанными в сообщении, используя свои системные привилегии.
Захват потока выполнения: Атакующий использует состояние гонки (race condition) или подмену символических ссылок (symlink attack), чтобы заставить службу загрузить вредоносную DLL или выполнить запись в защищенную системную директорию.
Выполнение кода: В результате служба запускает полезную нагрузку атакующего с правами NT AUTHORITY\SYSTEM.

CVSS v3.1: 7.8 HIGH (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
Ограничения эксплуатации:

Требуется наличие локального доступа к системе (возможность запускать код в сессии пользователя).
Необходим доступ к системным вызовам для работы с портами ALPC.

Влияние

Полный захват системы: Злоумышленник, имеющий ограниченный доступ (например, через веб-шелл или обычную учетную запись), мгновенно становится "суперпользователем" Windows.

Обход средств защиты: Привилегии уровня SYSTEM позволяют отключать антивирусы (EDR/AV), удалять журналы событий и устанавливать скрытые бэкдоры (руткиты).

Кража учетных данных: Получив права системы, атакующий может извлечь хэши паролей и токены из памяти процесса LSASS для дальнейших атак на домен (Lateral Movement).

Использование в цепочках атак: Часто используется как второй этап после эксплуатации удаленной уязвимости (например, в браузере или офисном ПО) для выхода из "песочницы" приложения.

Скачать

Сообщество THREAD предупреждает, что перед запуском предоставленного программного обеспечения необходимо проявить особую осторожность. Для защиты рабочих станций от возможного заражения рекомендуется использовать виртуальную машину или песочницу.
Пароль от архива и соглашение

Download | Github

Файл был удален или утерян? Напиши в поддержку для перезалива!

#exploit

ADWSDomainDump

2026-02-27T15:37:51.989Z

Инструмент для перечисления данных из Active Directory, использующий для этого веб-службы Active Directory (Active Directory Web Services, ADWS).

Подробнее

Основная задача инструмента - сбор информации о домене (пользователи, группы, компьютеры, политики и т.д.) в ситуациях, когда традиционные методы (например, через протокол LDAP) ограничены, заблокированы или нежелательны.

ADWS - это протокол на базе SOAP, который обычно работает на порту 9389. Поскольку этот трафик выглядит как обычный веб-запрос, он может помочь обойти некоторые системы мониторинга, настроенные только на поиск классических LDAP-запросов.

Особенности

Использование протокола ADWS
Не требует специальных прав
Обход ограничений AD

Скачать

THREAD CLOUD | Github

#pentesting

Apex Crypto Clipper [1.0] | @ClipperApex

2026-02-24T07:18:01.969Z

Клиппер, предназначенный для мониторинга и подмены строк в буфере обмена, соответствующих адресам криптовалютных кошельков. Подмена происходит автоматически при копировании подходящих форматов. Интерфейс имеет удобное составляющее для настройки и красивый визуальный стиль.

Подробнее

Особенности

Поддержка всех основных криптовалют: BTC, ETH, LTC, DOGE, TON, USDT (TRC20), SOL, XMR
Замена Steam trade ссылок
Гео-блокировка по списку стран
UAC Bypass для получения прав администратора (умный обход и байпас UAC)
Исключение из Windows Defender
Автозагрузка через планировщик задач (запуск от им SYSTEM)
Копирование себя разные директории
Определяет тип кошелька автоматически
Подставляет соответствующий адрес
При старте: имя ПК, геолокация, путь, PID, права
При подмене: активное окно, оригинальный адрес, адрес подмены
Красивый GUI с анимациями
Автоустановка недостающих компонентов (кнопка Install Dependencies)
Сборка с обфускацией и сжатием
Сохранение билдов с таймстемпом
Обфускация через Garble
Сжатие UPX
Отсутствие логов на диске

Скачать

THREAD CLOUD | VT

#malware

LazyDLLSideload

2026-02-22T11:26:17.587Z

Инструмент на основе Rust для генерации проектов DLL-прокси/сайдлоада. Автоматически анализирует таблицы экспорта PE и генерирует готовые к компиляции проекты Rust с встроенной полезной нагрузкой.

Подробнее

Проект превращает сложную ручную работу по анализу бинарных файлов и написанию связующего кода в одну команду. На выходе вы получаете исходный код на Rust, который после компиляции (cargo build --release) превращается в DLL, визуально неотличимую для системы от легитимной, но исполняющую ваш код.

Особенности

Автоматизация PE-парсинга: инструмент самостоятельно извлекает таблицу экспорта и ординалы из целевого бинарного файла для создания точной копии.
Двойной режим работы: поддержка Proxy для сохранения работоспособности программы через пересылку вызовов и Sideload для создания простых библиотек-заглушек.
Прозрачное проксирование: использование .def файлов для прямого перенаправления большинства функций в оригинальную DLL на уровне системного загрузчика.
Динамический вызов (Dyncvoke): выполнение полезной нагрузки через прямой зазов системных вызовов (например, nt_create_thread_ex), минуя стандартную таблицу импорта.
Обфускация строк: автоматическое шифрование имен функций и путей к библиотекам с помощью макросов obfstr для затруднения статического анализа.
Безопасная многопоточность: выполнение инициализации компонента в отдельном потоке, что предотвращает блокировку или аварийное завершение основного приложения.
Гибкая настройка путей: возможность использования как относительных путей с переименованием оригинала, так и абсолютных путей к системным библиотекам.
Генерация полноценного проекта: на выходе создается готовая структура на Rust с настроенными зависимостями и скриптами сборки build.rs.

Скачать

THREAD CLOUD | Github

#pentesting

VioletRat [4.7] | Leaked: @pakreverselab

2026-02-19T09:25:39.768Z

RAT для Windows, оснащенный всем функционалом для удаленного контроля на ПК. Функционал большой чем и отличается от других типов такого же ПО, имеет нестандартные цвета в интерфейсе вырвиглазного формата. Продается на тематических форумах и канала от 100$.

Подробнее

Как и сообщалось выше в описании, то данный RAT по сей день продается от 100$ до 900$ за пожизненную лицензию. У проекта есть собственный сайт, а также телеграмм канал с подробностями.

Особенности (взяты с официального источника)

Settings

Server Settings: Shows the listener settings and make you able to edit it, also shows the traffic of VioletRat and the number of victims.
Hook Settings: The hook makes you able to link VioletRat to a telegram bot and a discord server, also using the hook you can automatically execute cookie stealing and crypto wallets grabbing for every new victim.
Theme Settings: You can change the rows color and also change the language of the tool, VioletRat supports English, Chinese and Russian.

Device Control

VNC: Real-time desktop screen control with the ability to control the keyboard and the mouse, you'll see what your target is doing and also control his system.
CMD & File Manager: A remote command control also knowing as reverse shell capable of controlling the whole system using the system commands remotely, and remote file manager to control the PC's files like download, upload, run files, encrypt, decrypt, etc.
Microphone, Sys Sounds end Camera Manager: Gain access to the PC microphone to hear any ambient sounds around the target’s device. System Sounds let you capture all internal audio like videos, calls, Zoom meetings, and more. The Camera Manager allows full webcam control to record, snap photos, and watch the victim live in real time.
Location Manager: Location Manager lets you track the target’s real-time location using GPS or Wi-Fi data. View movement history and get accurate coordinates to monitor their location at any time.
Clipboard & Process Manager: Clipboard Manager lets you view everything the target copies and even modify it in real time. Process Manager gives you full control over running processes view, start, stop, or kill any task on the target's system.

System Control

File Executor: File Executor allows you to run files from the disk, directly in memory, via URLs, or even execute raw opcodes for shellcode. Perfect for stealthy and flexible payload deployment.
Power Manager: Power Manager gives you full control over the target device—put it to sleep, shut it down, restart, or log off the user with a single click.
Utilities Manager: Disable key system utilities like Task Manager, Regedit, and the firewall. You can also block system updates to maintain full, uninterrupted access.
Anti Resetting & Updating: Disables Windows system reset functionality and blocks Windows Update services to prevent recovery and system patching.
SysKiller & BSOD Absorber: System Killer corrupts the BIOS and destroys core kernel components, leaving the system in a critical, unrecoverable state. BSOD Absorber triggers a Blue Screen of Death, force-crashing the system instantly.
Active Windows Manager & Message Box showing: Active Windows Manager lets you monitor and control open windows on the target device. You can display custom message boxes as well.
Change Wallpaper & Installed Programs Manager: Wallpaper Manager allows you to change the target’s desktop background remotely. Installed Programs Manager lets you view, uninstall, or manipulate software installed on the system with ease.

Tools

Blank Screen: It blocks the screen for the victim and also blocks the keyboard and the mouse so he completely loses the control over the machine while you have a full control over it.
HVNC: The hvnc gives you the ability to control the desktop like opening browsers, file manager, cmd, powershell, etc. without notice from the victim, so it's like the vnc but more stealthy.
Clipper: The Clipper monitors the clipboard for cryptocurrency addresses and automatically replaces them with the attacker address, ensuring any transaction is redirected without the target noticing.
Offline/Online Keylogger: The offline/online Keylogger gives you ability to see every thing the victim wrote using it's keyboard also it shows you were did the victim write it, as an example let's say the victim tried to login in Facebook, it'll show you that those words the victim wrote (the user and pass) got written on Facebook login page.
Stealer: Extracts saved logins including usernames, passwords, and emails. It also grabs the Windows activation key, Wi-Fi passwords, email credentials, system tokens (like Discord), and more sensitive data stored on the system.
Grabber: Extracts the data directories from messaging apps like Telegram and WhatsApp, as well as from cryptocurrency wallet applications and browser-based crypto wallet extensions.
Fun: Do a lot of crazy stuff to the machine like turn off/on taskbar, turn off/on desktop icons, turn off/on clock, turn off/on notifications, mouse swap left to right and top to bottom, Text to speech that makes you able to let the PC talk to the victim with voice.
Chat: Chat allows you to open a direct communication channel between you and the victim. Send and receive messages in real time, creating an interactive session directly on their device and they can't stop it until you close it yourself.
File Grabber: File Grabber scans the entire machine to locate and extract files based on your criteria. You can search by specific file names, extensions, or types to quickly collect targeted data from the system.

Defender Manipulation

UAC Manager: the UAC manager is able to turn the UAC off or on inside the machine so if you turned the UAC off, you can run any file as administrator without asking the user himself.
UAC Bypass: The UAC Bypass helps you in rerunning your payload with administrator privileges using windows vulnerabilities like Cmstp, Computerdefaults, DismCore, etc.
Ask UAC: This if you want to get administrator privileges normally by asking the user to run your payload as admin.
Defender Killer: Simply it kills the windows defender making it impossible for your payload to get detected in runtime, and this process is irreversible so if you killed the defender there is no way to get it working back even with restarting the machine.

Network Manipulation

DOS Attack: You can do a ddos attack on any network with any port using your victims as a botnet.
Connections Manager: The connections manager gives you access on all the connections on your victim's PC, like all programs/services that are using the internet and helps you spying on them or even kill/block them.
NetDiscover: NetDiscover scans the whole network (LAN) of your victim and shows you all devices within the same network as your victim, also it give you the main gateway of the network (Router) and all devices Mac addressees.
Network Jammer: Network Jammer lets you disrupt internet access for any device on the same local network as the victim. The victim's device acts as the base for launching targeted LAN-based denial attacks, effectively cutting off selected devices from the internet.

Скачать

THREAD CLOUD | VT

#malware

BT MOB [4.1] Source | Leaked: @dotnetoolcrack

2026-02-17T12:55:45.109Z

Инструмент для удаленного управления Android. Создан тем же человеком, который создал CraxsRAT, CypherRAT и другие похожие по интерфейсу программы. Предлагает множество функций как в других поколениях его творчества. Также имеется серверная часть для управления.

Подробнее

Этот софт является эволюцией более раннего шпионского ПО SpySolr и представляет серьезную угрозу, так как позволяет злоумышленникам полностью контролировать зараженное устройство. В отличие от простых вредоносных программ, он классифицируется как инструмент для проведения целевых кибератак и финансового мошенничества, обладающий модульной архитектурой.

Основным вектором атаки является эксплуатация Accessibility Services (Служб специальных возможностей). Это «сердце» вируса: получив разрешение на использование этого инструмента, BT MOB фактически становится «невидимым пользователем», который стоит между операционной системой и владельцем устройства. Это позволяет вредоносному ПО считывать содержимое любого окна, имитировать касания экрана и перехватывать системные события.

Особенности

Удаленное управление экраном (Live Screen Sharing): Хакеры могут видеть экран пользователя в реальном времени и управлять им.
Кража учетных данных (Injections): Вирус использует технику «оверлеев» (наложение поддельных окон поверх настоящих). Когда пользователь открывает банковское приложение или соцсеть, BT MOB подменяет окно входа своим, чтобы украсть логин и пароль.
Разблокировка устройства: Используя API спец. возможностей, вирус может имитировать жесты для ввода графического ключа или PIN-кода, если он смог подсмотреть их ранее.
Кейлоггинг (Keylogging): Запись всех нажатий клавиш на клавиатуре, что позволяет перехватывать сообщения и пароли.
Доступ к файлам и медиа: Просмотр, удаление, переименование и кража фотографий, видео и документов из памяти телефона.
Шпионаж в реальном времени: Возможность скрытой записи аудио через микрофон и получение координат GPS-местоположения.
Чтение SMS и контактов: Вирус перехватывает входящие сообщения (включая коды двухфакторной аутентификации от банков) и крадет список контактов.
Связь через WebSocket: Использует современные протоколы связи с командным сервером (C2) для мгновенного выполнения команд злоумышленника.

Скачать

THREAD CLOUD

#malware

Albiriox [1.4] | Leaked: @rawret

2026-02-16T09:15:49.103Z

RAT ориентированный на кражу финансовых средств. Сочетает в себе функции удаленного доступа и фишинговые атаки с помощью наложения, представляя серьезную опасность для пользователей.

Данный материал подготовлен специально для сообщества THREAD командой RAWRET

Подробнее

Инструмент продается на теневых форумах и ведется по сей день активная разработка.

В версии 1.4:

Изменений крайне много - не только по функционалу, но и по технической части. Постараюсь перечислить самое главное:
Изменена отрисовка AcVnc — она стала более подробной, с большим количеством настроек: от индикаторов кликабельности элементов до более простой тестовой версии. Также сохранена старая отрисовка её можно включить в настройках внизу списка (Classic Render v1).
3. Инжекты теперь можно самостоятельно кастомизировать, добавлять и изменять.

Особенности

VNC Отрисовка происходящего на экране и возможность управления посредством кликов и жестов
AcVNC Отрисовка экрана на основе Accesibility Node и управление - позволяет обходить флаг Secure (черный экран) в Android (Пример отрисовки указан ниже для обоих вариантов).
Keylogger На основе Accesibility Node - Позволяет записывать нажатия на элементы и записывать пароль телефона при входе.
Target detect - Определение приложений которые могут представлять интерес (Crypto/Bankig apps) и возможность их прямого запуска и запроса удаления при необходимости.
Injects - Ориентированные на банки инжекты запрашивающие Login:Pass при входе в Crypto/Bankig (На данный момент Multi inject для всех)
Доп Элементы управления - Home,Back,Multitask,Recent,Power,Vol+,Vol-
Blank Screen - Скрытия экрана у пользователя на экран загрузки

Скачать

Download | VT (loader) | VT (PANEL)

#malware

lnk-it-up

2026-02-15T16:12:11.025Z

Инструмент, предназначенный для создания LNK-файлов, чтобы скрыть реальную команду или файл, который будет запущен.

Подробнее

lnk-generator (Python): Модуль для генерации специально подготовленных LNK-файлов. Он позволяет создавать ярлыки с необычными свойствами, которые могут выглядеть в проводнике Windows как обычные документы (например, PDF или офисные файлы), но при этом выполнять произвольный код или системные команды (LOLBins).

lnk-tester (C++): Программа для идентификации и анализа таких подозрительных LNK-файлов. Она помогает специалистам по информационной безопасности (Blue Team) обнаруживать признаки подмены или обмана в ярлыках, которые не видны при обычном просмотре свойств файла через интерфейс Windows.

Особенности

Спуфинг иконок и расширений
Использование путей к ресурсам
Обход ограничений

Скачать

Download | Github

#pentesting

GluePrint

2026-02-12T08:53:43.098Z

Инструмент для определения технологического стека, который действительно работает. Инструмент расскажет вам все о том, что работает на ресурсе. Речь идет о серверах, фреймворках, библиотеках JavaScript, фреймворках CSS, инструментах аналитики, виджетах, CDN, WAF и прочем. Более 420 различных технологий обнаруживается за одно сканирование.

Подробнее

У каждой технологии есть определенные паттерны. Определенные заголовки, файлы cookie, шаблоны HTML, ссылки на скрипты, классы CSS. Данный инструмент как раз таки и поможет в поиске таких паттернов для выявления стеков на ресурсе.

Особенности

Header Analysis - Server, X-Powered-By, cookies
Body Pattern Matching - Scripts, styles, meta tags
Version Extraction - Automatic version detection
Confidence Scoring - Evidence-based scoring system
Security Audit - HSTS, CSP, X-Frame-Options
Deep Scan - WAF triggering, path probing
JSON Export - Automation-friendly output

Скачать

Download | Github

#pentesting

IDOR: использование и предотвращение [Complete web app pentesting series #19]

2026-02-10T17:48:40.492Z

Введение

IDOR представляют собой опасные дефекты безопасности, которые существуют между удобными функциями и уязвимостями в современной разработке веб-приложений. Описательный анализ реальной уязвимости IDOR продемонстрирует, как невинная транскрипция чата позволила получить несанкционированный доступ к конфиденциальным паролям пользователей.

Мы проанализируем как основные технические аспекты слабого места, так и исследуем основные причины простых уязвимостей безопасности, которые продолжают существовать, и предложим стратегии для создания эффективных механизмов защиты.

Тестирование «черного ящика»

URL лаборатории — https://app.hackthebox.com/challenges/Kryptos%2520Support

На первый взгляд, мы замечаем, что нам не предоставили исходный код для этой лабораторной работы. Поэтому мы заглядываем в нее и видим страницу входа в систему и портал для ввода некоторых данных. Наш инстинкт сразу же подсказывает: а что, если мы сможем манипулировать порталом и украсть куки-файлы какого-нибудь пользователя? Именно этим мы и занимаемся в первой части этого задания.

После получения первоначального доступа просмотрите настройки и найдите опцию для сброса пароля.

Теперь, если вы посмотрите запрос, стоящий за сбросом, он не проверяется с помощью какого-либо токена, и мы находим параметр uid. Что произойдет, если мы изменим его значение?

Вы можете затуманить значения uid, используя burp intruder. Мы видим, что со значением uid равным 1 мы можем изменить пароль для пользователя admin.

И с этим мы должны получить наш флаг.

Тестирование «серого ящика»

В отличие от предыдущих блогов, у нас было тестирование «белого ящика», так как в Интернете не смог найти ничего подходящего, но нашелся другой способ — лабораторию portswigger, которая в некоторой степени объясняет веб-приложения с помощью javascript.

Паттерны в цифровом пространстве

Тестирование безопасности часто начинается с наблюдения — поиска закономерностей (паттернов), которые могут выявить скрытые слабые места в архитектуре приложения. Во время недавнего проекта история прокси-сервера приложения выявила интересную конечную точку:

/download-transcript/{ID}.txt

Что сразу вызвало подозрения в отношении этой конечной точки, так это ее соответствие классическому шаблону IDOR — ресурсу, доступ к которому осуществляется через простой числовой параметр, который, по всей видимости, является внутренним идентификатором. Этот шаблон часто предполагает прямое сопоставление между параметром URL и записями бэкэнд-базы данных, что представляет собой потенциальную границу безопасности, которую можно протестировать.

Анализ уязвимостей: снятие слоев

По сути, эта уязвимость была вызвана фундаментальным архитектурным недостатком: приложение позволяло пользователям получать доступ к ресурсам посредством прямых ссылок на внутренние объекты реализации — в данном случае, файлы транскриптов — без проведения надлежащих проверок авторизации.

Рассмотрим уязвимый паттерн запроса:

GET /download-transcript/2.txt HTTP/2
Host: 0a25009004c1db6081ed89ff001e0026.web-security-academy.net
Cookie: session=kp1BS7J2wYMZPvEWYVEGbIYnB4ktSHz5
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Accept: */*

Критическая уязвимость заключается в том, как приложение обрабатывает идентификатор «2» в URL-адресе. Этот числовой идентификатор служит прямой ссылкой на конкретный файл транскрипта, хранящийся на сервере. Приложение извлекает запрошенный файл исключительно на основе этого идентификатора, не проверяя, должен ли иметь к нему доступ текущий авторизованный пользователь.

Расследование проводилось по методичному подходу:

1. Наблюдение: в истории HTTP был обнаружен конечный пункт /download-transcript/2.txt, который показал паттерн, указывающий на прямую ссылку на объект (HTTP-запрос, выделенный синим цветом).

2. Формирование гипотезы: выдвинута теория, что изменение цифрового идентификатора может позволить получить доступ к транскриптам других пользователей в случае отсутствия надлежащих проверок авторизации.

3. Контролируемое тестирование: создана вкладка «Repeater» в Burp Suite для тестирования доступа к /download-transcript/1.txt с сохранением того же сессионного куки, но с изменением только идентификатора ресурса.

4. Подтверждение уязвимости: успешно извлечена транскрипция с ID «1», которая принадлежала другому пользователю и содержала конфиденциальную информацию, включая пароль.

Успешное извлечение этой несанкционированной транскрипции подтвердило уязвимость. Приложение не проверило, имел ли запрашивающий пользователь законные права на доступ к ресурсу, обозначенному «1», а вместо этого слепо извлекло и вернула все данные, связанные с этим идентификатором.

Технический анализ: анатомия уязвимости

Чтобы глубже понять эту уязвимость, давайте рассмотрим реализацию на стороне клиента, которая взаимодействует с этой конечной точкой. Это даст нам важную информацию о том, как уязвимость проявляется от начала до конца.

Из приведенного выше изображения мы получили два файла javascript, один из которых — chat.js, а другой — viewTranscript.js. Давайте взглянем на viewTranscript.js. Эта функция JavaScript в приложении раскрыла механизм загрузки транскрипта:

function viewTranscript(downloadTranscriptPath) {
    var chatForm = document.getElementById("chatForm");
    var viewTranscriptButton = document.createElement("button");
    viewTranscriptButton.setAttribute("id", "download-transcript");
    viewTranscriptButton.setAttribute("class", "button");
    viewTranscriptButton.innerText = "View transcript";
    viewTranscriptButton.onclick = viewTranscript;
    
    chatForm.appendChild(viewTranscriptButton)
    
    function viewTranscript() {
        var chatArea = document.getElementById("chat-area");
        var messages = chatArea.getElementsByClassName("message")
        var transcript = []
        for (var i = 0; i < messages.length; i++) {
           var message = messages.item(i)
           transcript.push(message.getElementsByTagName("th").item(0).innerText + " " + message.getElementsByTagName("td").item(0).innerText)
        }
        
        var xhr = new XMLHttpRequest();
        xhr.onload = function() {
            window.location = xhr.responseURL;
        }
        xhr.open("POST", downloadTranscriptPath);
        data = new FormData();
        data.append("transcript", transcript.join("<br/>"));
        xhr.send(data);
    }
};

Эта функция раскрывает несколько важных деталей, и мы делаем следующие выводы:

Приложение собирает сообщения чата из DOM и отправляет их в виде транскрипта на сервер с помощью POST-запроса.
Сервер обрабатывает эти данные и возвращает перенаправление на URL-адрес, по которому можно скачать транскрипт.
Перенаправление ведет к конечной точке /download-transcript/{ID}.txt, где ID назначается сервером.

Уязвимость существует по следующим причинам:

Сервер генерирует последовательные или предсказуемые идентификаторы для транскриптов
Когда пользователи запрашивают файл транскрипта, приложение не может проверить право собственности
Сервер слепо доверяет параметру ID, предполагая, что запрос является законным, если он содержит действительный сессионный куки

Усовершенствование эксплуатации: от открытия до воздействия

1. Первоначальный доступ: успешно получен доступ к файлу /download-transcript/1.txt, несмотря на то, что он принадлежит другому пользователю.

2. Анализ содержания: в транскрипте содержалась конфиденциальная информация, в том числе:

Детали разговора
Пароль пользователя (наиболее важная находка)
Возможно, другие конфиденциальные данные, которыми обменивались участники чата

3. Анализ паттерна: Последовательный характер идентификаторов (1, 2, 3…) позволял предположить, что все транскрипты могут быть доступны, что указывало на широкомасштабный сбой системы контроля доступа.

Предлагаемые стратегии устранения недостатков

Для устранения уязвимостей IDOR требуется многоуровневый подход:

Немедленные тактические исправления

1. Внедрение проверок авторизации на уровне ресурсов

function downloadTranscript(transcriptId, currentUser) {
        // Retrieve the transcript object
        transcript = getTranscriptById(transcriptId)
        
        // Verify ownership or permission
        if (transcript.owner != currentUser.id && !currentUser.isAdmin) {
            return AccessDeniedError
        }
        
        // Proceed with download if authorized
        return transcript.content
    }

2. Используйте карты косвенных ссылок вместо того, чтобы напрямую раскрывать внутренние идентификаторы, реализуйте уровень сопоставления:

   // Server-side map (stored in session)
    userResourceMap = {
        "a7f392e": "transcript_2"  // User-specific mapping
    }
    
    // URL becomes /download-transcript/a7f392e
    // Server translates the reference before retrieving the resource

Ссылки:

Заключение

Мы исследовали уязвимость IDOR, чтобы продемонстрировать, что простая реализация всегда должна сопровождаться строгими мерами авторизации для обеспечения безопасности в Интернете. Уязвимости IDOR обладают двумя опасными характеристиками, поскольку сочетают в себе простую концептуальную природу и разрушительные последствия. Такие уязвимости приводят к серьезным утечкам данных, поскольку хакерам не требуется ни сложных методов эксплуатации, ни специальных технических знаний, чтобы воспользоваться ими.

Уязвимости IDOR можно устранить только с помощью сочетания надежных средств контроля авторизации и косвенных карт ссылок, непредсказуемых идентификаторов и глубоких мер безопасности. Для обеспечения безопасности необходима надлежащая основа, а не сложные алгоритмы или изощренные системы защиты. Понимание этих недостатков безопасности в сочетании с подходящими методами защиты позволяет нам разрабатывать системы, которые защищают конфиденциальную информацию пользователей от виртуальных злоумышленников, скрывающихся в электронных структурах.

Оригинальная статья | Перевод: THREAD

#papers