Z
одни блохеры блать
Size: a a a
2020 August 05
Z
ковычки не кому ставить
PK
пароли по умолчанию на админских аккаунтах менять некому
Z
пароли по умолчанию на админских аккаунтах менять некому
ну)
AK
ну вас. кому нужны ваши хэши если у меня на руках rce да еще и рутовый
это все таки когда веберы не осилили lateral movement. Приложение размотали, а дальше база аки бастион во семи стенах
F
Или это был Бромыч?
F
Тьфу. Их путать как нефиг делать
AK
без бекапов, authorized_keys, паролей и прочей вкуснямки
AK
конечно может быть и такое, но может и не такое
Z
это идея для лабы)
Z
когда нихуя не такое
y
В целом норм.
Прятать статику с одной стороны хочется, с другой это создает ложное ощущение, что если апи не известно, то оно в безопасности. Декларируя его в общедоступном файле, вы идете по пути осознанности. Считай опенсорс) Эндпоинты должны авторизировать запросы, желательно единым слоем, и веб-прокся как ещё доп слой логики разграничения доступа вполне.
Главное не навелосипедить с переносом ответственности за "у нас в админ API различные уровни прав, ACL, 2FA и пр. В общем-то всё по best practices." на "у нас админ API за проксей, только с определенной сети, можно и апи не харденить и тесты не писать, она ж только из офиса, да и вообще эндпоинт /api/admin/dump_secrets_tmp нужен только на 15 минут, завтра потрем".
Какая-нибудь SSRF или днс ребиндинг через сотрудника позволят размотать апишку при удачном стечении обстоятельств.
Прятать статику с одной стороны хочется, с другой это создает ложное ощущение, что если апи не известно, то оно в безопасности. Декларируя его в общедоступном файле, вы идете по пути осознанности. Считай опенсорс) Эндпоинты должны авторизировать запросы, желательно единым слоем, и веб-прокся как ещё доп слой логики разграничения доступа вполне.
Главное не навелосипедить с переносом ответственности за "у нас в админ API различные уровни прав, ACL, 2FA и пр. В общем-то всё по best practices." на "у нас админ API за проксей, только с определенной сети, можно и апи не харденить и тесты не писать, она ж только из офиса, да и вообще эндпоинт /api/admin/dump_secrets_tmp нужен только на 15 минут, завтра потрем".
Какая-нибудь SSRF или днс ребиндинг через сотрудника позволят размотать апишку при удачном стечении обстоятельств.
благодарю!
Z
благодарю!
недавно был кейс когда сессия в api из тестовой инфры подходила к проду, на тесте админ имел логин пасс test/test
Z
сервис авторизации на тесте и проде был один, волшебно как то но факт
AK
сервис авторизации на тесте и проде был один, волшебно как то но факт
не jwt с одним ключом?
Z
не jwt с одним ключом?
вроде нет слушай
Z
надо найти записки по тому пентесту, посмотреть, уже не помню
A
всем привет, кому скучно и шарит в ghidra отзовитесь застрял ...
q
надо найти записки по тому пентесту, посмотреть, уже не помню
это то, что я думаю?))
Z
это то, что я думаю?))
+