网络安全Newsletter
网络安全Newsletter
网络安全Newsletter,分享近期公开的网络安全的技术文章,助力技术提升。
本期包含:PostgreSQL的SQL注入利用,GitHub Actions Artifacts条件竞争利用,Web远程时间差攻击,Apache Http Server混淆攻击,Waf协议层面Fuzzing.
PostgreSQL SELECT限制下的SQLi利用
文章作者adeadfed花了3个月时间,研究出了通过直接修改pg_authid表在系统中对应的文件,将当前数据库用户的权限修改为superuser,之后通过修改postgresql.conf文件中的session_preload_libraries配置,加载恶意so文件,进行RCE。
文章链接:https://tcp.im/CbxU1x
GitHub Actions Artifacts条件竞争利用
GitHub Actions进行CI/CD时,会保存文件或数据到Artifacts中进行共享,由于使用不当,导致认证信息GITHUB_TOKEN和ACTIONS_RUNTIME_TOKEN泄漏在Artifacts中。
Yaron Avital通过扫描获取GITHUB_TOKEN和ACTIONS_RUNTIME_TOKEN,利用条件竞争,可以调用API修改当前repo中的信息,可造成进一步的供应链攻击。
文章链接:https://tcp.im/J3LuA1
远程时间差攻击
我们知道,在进行字符串比较时,会从第一个字母开始进行比较,不成功则进行返回。如果第一个字母匹配,则进行下一个字母的比较。这样我们可以通过一个时间差来判断当前的某个字符是非匹配。
但由于这个时间差比较微小,并且网络的延迟比较大,所以实际利用比较困难。
来自PortSwigger的研究主管James Kettle研究发现,通过使用http2中的技巧,可以降低网络时间差和内网时间的影响,从而使得通过时间差来进行判断更可行。
文章链接:https://tcp.im/HspdmW
混淆攻击
Apache HTTP Server作为一个广泛使用的服务器,现在是非还能找出漏洞?
研究员Orange研究发现,Apache HTTP Server中有非常多的modules,通过module来执行不同任务,那么这些不同的module之家,对于同一个数据是非理解一致?理解不一致,就造成了攻击的可能。
通过一个问号符号,利用这些漏洞,可以ssrf,还可以读取文件信息,在一些场景下,还可以命令执行。
文章链接:https://tcp.im/ur18dk
Waf 协议层Fuzzing
通过设计一个Waf fuzzing的框架,研究人员Wang等在协议层面进行了SQL注入的Fuzzing,找到了一些Waf和后端应用框架对协议理解的差异,可以被用来绕过waf。
文章链接:https://tcp.im/HJPAMJ