Hacknite Wiki

Business logic vulnerabilites su tip ranjivosti koji se pojavljuju zbog propusta u dizajnu sustava i izostanku odgovarajućih sigurnosnih mjera i provjera. Ove ranjivosti se rijetko mogu pronaći automatiziranim načinom, sigurnosnim alatima za skeniranje i analizu koda, jer ovise o kontekstu same aplikacije. Napadač može manipulirati postojećim funkcionalnostima sustava na nepredviđeni način, kako bi izvršio neželjene akcije.

Najjednostavniji primjeri ove skupine ranjivosti su: kupnja negativne količine nekog proizvoda u web trgovini, npr. umjesto kupnje dvije majice, u košaricu se za broj majica stavi minus dva za količinu, čime cijena kupovine bude negativna i novci se prebace kupcu s računa web aplikacije umjesto slanja novaca s računa kupca na račun web aplikacije. Ako postoji provjera da ukupna cijena ne može biti negativna, ali ne postoji provjera da ne može biti negativan broj proizvoda, tad se može kupiti dvoje hlača i „minus dvije“ majice. Ako ova transakcija nije provjerena i sustav ju odobri, tada se dobiju naručenih dvoje hlača, ali ne po punoj cijeni, nego po cijeni umanjenoj za cijenu dvije majice. Ovaj primjer ukazuje na potrebu provjere i parametara koje unose korisnici i stanja sustava, kako se sustav ne bi mogao iskoristiti na nepredviđen način. Sigurnosni alati za skeniranje i analizu ne mogu znati kontekst aplikacije, pa onda ni detektirati da je negativna vrijednost količine proizvoda ili broja artikala za narudžbu zapravo ranjivost. Što je sustav kompleksniji i sastoji se od više povezanih komponenti, veća je mogućnost pojavljivanja ovog tipa ranjivosti. Također za iskorištavanje ovakvih ranjivosti, često nisu potrebni nikakvi alati niti složene tehnike napada, nego se mogu jednostavno izvršiti kroz sama sučelja aplikacije.

Možete li kupiti flag?
http://chal.platforma.hacknite.hr:13007

Vidi se da je zadatak web trgovina i da je cilj kupiti „Flag“ koji je ponuđen kao artikl u web trgovini. Također, dostupan je izvorni kod zadatka. Pri daljnjem pregledu stranice, vidi se da je ponuđen odabir za količinu artikala u rasponu od 1 do 5. Prikazano na slici 1.

Dodavanjem jabuka u košaricu i pokušajem kupnje, pojavljuje se pogreška „Nedovoljno sredstava na računu„ prikazana na slici 2.

Pregledom HTML koda za ovaj segment stranice, korištenjem ugrađenih alata za razvoj u web pregledniku (F12) ili drugim načinom, vidi se da je vrijednost koja se odabire definirana kao „quantity“, a ponuđene vijednosti u dropdown izborniku su samo od 1 do 5. Prikazano na slici 3.

Korištenjem ugrađenih alata za razvoj u web pregledniku, može se promijeniti jedna od ponuđenih vrijednosti u padajućem izborniku u -10. Prikazano na slici 4.

Slanjem ovog zahtjeva i pregledom košarice, može se vidjeti da je ovaj zahtjev obrađen bez izazivanja greške i da je sad ukupna cijena proizvoda u košarici negativna. Prikazano na slici 5.

Pokušajem kupnje negativne količine proizvoda, pojavljuje se greška na stranici koja naznačuje da nije moguće izvršiti kupnju pri kojoj je ukupna cijena manja od 0 €. Prikazano na slici 6.

U gornjem lijevom kutu se vidi da je stanje na računu 0 €. Uzevši u obzir da ukupna cijena svih proizvoda ne smije biti manje od nule i da vjerojatno mora biti manja ili jednaka stanju na računu, može se deducirati da se vjerojatno može izvršiti kupnja, ukoliko je ukupna cijena svih proizvoda u košarici jednaka nuli. Kako bi se uspješno kupio flag, treba se odabrati jedan ili više flag artikala i odgovarajuća kombinacija negativnih količina ostalih proizvoda, kako bi ukupna cijena bila nula. Ovaj problem ima više od jednog rješenja, te se može jednostavno riješiti uz malo matematike, isprobavanjem par linearnih jednadžbi, ili isprobavajući različite kombinacije približavajući se rješenju dok se ne uspije složiti odgovarajuća kombinacija. Jedna od kombinacija koja ima ukupnu cijenu nula i sadrži flag je sljedeće:

Flag  - (1*trešnje + 9*šljive + 1* banane + 40* jabuke + 5* bonsai)

Prikazano na slici 7.

Izvršavanjem ove kupovine dobiva se rješenje zadatka, prikazano na slici 8.

Business logic ranjivosti uvelike ovise o samom kontekstu aplikacije, zato je potrebno dobro razumijevanje logike sustava, njegovih funkcionalnosti i namjena pri razvoju i implementaciji sustava, pogotovo kada više ljudi zajedno rade na razvoju. Kada jedna osoba radi na jednoj komponenti sustava koja je povezana s drugom komponentom, koju razvijaju drugi programeri, mora dobro razumjeti obje komponente i njihovu namjenu te predviđene funkcionalnosti. Zato je važno tijekom razvoja sustava imati dobro dokumentirane namjene i funkcionalnosti pojedinih komponenti. Dakle, tijekom razvoja, osim posvećivanja pažnje sigurnosti koda, treba voditi računa i o mogućim zlonamjernicima koji će pokušati koristiti sustav na nepredviđene načine. Treba primijeniti validacije korisničkog unosa i provjere stanja sustava i njegovih vrijednosti, sa što strožim ograničenjima, kako ne bi bilo moguće koristiti sustav izvan predviđenih granica. Na primjer ako je očekivani korisnički unos e-mail adresa, mogu se koristiti već gotove implementacije koje provjeravaju da je uneseni e-mail validan i da ne sadržava nikakve znakove niti određene redoslijede dopuštenih znakova koji se ne mogu koristiti u e-mail adresi. Ako je očekivani korisnički unos cijeli broj u rasponu od jedan do devet, treba provjeriti da je korisnički unos cijeli jednoznamenkasti broj u rasponu od jedan do devet, a za ostale javiti pogrešku. Važno je voditi računa da ove provjere nije dovoljno implementirati samo na korisničkoj strani, npr. korištenjem client-side JavaScript koda, jer se zahtjevi mogu jednostavno modificirati prije slanja, a provjere na korisničkoj strani zaobići. Potrebne su provjere korisničkog unosa na serverskoj strani, prilikom samog korisničkog unosa, a poželjno i na dubljim i daljim dijelovima procesa obrade i posluživanja podataka.

Izvori:
https://portswigger.net/web-security/logic-flaws
https://owasp.org/www-community/vulnerabilities/Business_logic_vulnerability
https://platforma.hacknite.hr/