Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Come la Insecure Deserialization Possono Compromettere la tua Applicazione Web

Manuel Roccon : 22 Maggio 2024 08:58

Userei questo inizio: Se questo fosse un software distribuito, sarebbe un incubo.

In questo articolo andremo alla scoperta di una vulnerabilità che ho individuato tempo fa in una webapp, ricreando la vulnerabilità in un laboratorio per capirne meglio il funzionamento, come identificarla e porre rimedio.

Sto parlando di una Insecure Deserialization descritta molto approfonditamente da OWASP ora inserita nel A08:2021-Software and Data Integrity Failures, posizionata alla top delle vulnerabilità 2021.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Ora vediamo la nostra app vulnerabile che presenta un login e capiamo un attimo come funziona:

    Il nostro browser per ogni pagina che visitiamo si ricorderà che siamo loggati. Ma come fa il browser a ricordarsi che avevamo già fatto l’accesso muovendosi tra una pagina all’altra?

    Tramite la croce e delizia di tutti gli sviluppatori: il cookie di sessione. Il cookie di sessione ha il compito di ricordare al server per appunto che il browser è loggato passando da una pagina all’altra passandogli appunto il cookie.

    Il cookie è un dato che una volta creato, viene salvato da browser a server fino a quando non scade, non viene riavviato il browser o non viene tolto dal client o server (set/unset). Una volta loggati e questo cookie verrà generato e ci accompagnerà ogni richiesta. Il server quando riceverà in ogni chiamata dal browser potrà recuperare le informazioni legate al cookie di sessione per identificati.

    Queste informazioni sono poi a cura dello sviluppatore inserire i dati appositi per riconoscerci tramite dati di sessione.

    Vediamo il funzionamento

    Inseriamo i dati di login (senza remember che spiegheremo dopo)

    Dopo il login ci troviamo in un’area riservata, in questo caso limitata.

    Vediamo cosa è successo nel dettaglio con Burp.

    Una volta che inseriamo le credenziali il server ci risponderà con un Set-cookie PHPSESSID (id di sessione php) che il browser salverà e rinvierà a ogni successiva richiesta.

    Possiamo vedere che nella richiesta successiva è stato ricordato dal browser e inserito nella successiva richiesta.

    Possiamo vedere questi cookie sul browser attraverso un’estensione del browser tramite Cookie-Editor.

    https://cookie-editor.com

    Immergiamoci nel profondo del server…

    Quando viene generata questa sessione il server crea un file nel percorso di default /var/lib/php/sessions, app poi salverà alcune informazioni che userà nelle future richieste e infatti contiene il nome utente associato al cookie generato.

    Quando nel nostro browser abbiamo la sessione rimarrà attiva e il browser riuscirà a riconoscerci finché non chiudiamo e riapriamo il browser, in questo caso è impostato da configurazione che la sessione si perda e dobbiamo loggarci per riacquistare di nuovo un token di autenticazione.

    In questo caso possiamo vedere la configurazione nel file di configurazione della sessione nel server.

    La vulnerabilità

    Questa, come abbiamo detto, non è una web app qualsiasi, è un incubo.

    Ora che abbiamo compreso un attimo come funziona il meccanismo di autenticazione tramite cookie e il funzionamento di questi andiamo ad analizzare la vulnerabilità presente nel meccanismo per ricordare al browser che vogliamo rimanere loggati che utilizza la sessione e i cookie del browser.

    Infatti lo sviluppatore per agevolare gli utenti e permettere di ricordare il precedente login ha inserito una funzionalità “ricordami”.

    Proviamo ora a eseguire il login con il flag e verifichiamo su burp questa volta cosa succede: Possiamo vedere che viene generato un cookie ulteriore “remember” con all’interno uno strano codice…

    Possiamo però notare che cookie ha una scadenza molto alta che farà in modo che rimarrà persistente anche alla chiusura del browser.

    Raggiungendo direttamente l’area riservata con il cookie che è rimasto nel browser, viene ricreato il token di sessione e il login avviene automaticamente.

    L’App quindi ha utilizzato questo cookie permanente per agevolare gli utenti a non dover ogni volta loggarsi. Quindi obiettivo centrato, ma vediamo un attimo lato sicurezza questo meccanismo quanto sicuro è.

    Al cuore della vulnerabilità

    Se andiamo adesso ad analizzare il cookie vediamo che questo dato è una codifica URI che velocemente andiamo a decodificare (con burp basta selezionarlo)

    Ora il dato è poi chiaro e per chi non sapesse si tratta di un oggetto serializzato.

    “a:2” indica che siamo presenza di un array di 2 elementi

    • il primo è username, stringa da 8 caratteri (s:8), con valore user, stringa da 4 (s:4)
    • il secondo è admin (s:5) con valore 0 (s:1)

    Quello che possiamo intuire è che applicazione prenda il valore username e ci sia qualche meccanismo di autologin. Ora proviamo a cambiare questo username e usiamo “admin”; quindi ricostruiamo l’oggetto serializzato:

    Admin in questo caso sarà di 5 caratteri quindi modifichiamo la stringa così

    Ora per modificare e re inviare la chiamata, con burp dobbiamo usiamo usare la funzione repeater, selezioniamo la riga, tasto destro e send to Repeater

    Quindi quando in alto si illuminerà “Repeater” clicchiamo li.

    In questo pannello possiamo modificare la richiesta originale e modificarla come avevamo accennato prima. Quindi selezioniamo la riga URI del token, a destra modifichiamo la stringa decodificate e diamo “apply modify”.

    Reinviamo la richiesta tramite il bottone “Send” e vediamo che in questo caso siamo admin

    L’incubo sotto forma di codice

    A livello di codice la vulnerabilità si trova qui: Una volta accertato che le credenziali sono corrette viene generato l’oggetto serializzato e creato un cookie ricordami, contenente il nome utente “da ricordare”.

    In fase di controllo dell’autenticazione, se il cookie ricordami è presente, viene viene prelevato l’utente dal oggetto serializzato e autenticando automaticamente.

    (Se non avete notato, nel codice è presente anche un SQLi. Ma questa è un altra storia…)

    CONCLUSIONE

    È chiaro anche se la funzione ricordami è un metodo difettoso, va assolutamente cambiato.

    Abbiamo visto che questo meccanismo permette di passare da un utente all’altro senza autenticazione e quindi l’accesso a funzionalità e dati che non avrebbe accesso.

    Inoltre se se questo fosse un software standard e largamente distribuito, pensiamo a una webapp come WordPress, un malintenzionato potrebbe accedere a qualunque sistema provando a inserire degli utenti standard nel token ricordami.

    Visto questo, il metodo migliore è quello di utilizzare un token univoco, che viene validato lato backend una volta passato dal browser e non automaticamente creata la sessione sulla base di quello passato.

    Manuel Roccon
    Ho iniziato la mia carriera occuparmi nella ricerca e nell’implementazioni di soluzioni in campo ICT e nello sviluppo di applicazioni. Al fine di aggiungere aspetti di sicurezza in questi campi, da alcuni anni ho aggiunto competenze inerenti al ramo offensive security (OSCP), occupandomi anche di analisi di sicurezza e pentest in molte organizzazioni.

    Lista degli articoli

    Articoli in evidenza

    25 Aprile: Dalla Resistenza alla Cyber Resistenza – Difendiamo la Libertà Digitale

    Il 25 Aprile, data simbolo della Liberazione italiana dal fascismo, ci ricorda il valore della libertà, conquistata con il sacrificio di partigiani e combattenti. In un’era dominata dal di...

    Le Action Figure della Cyber Security. Red Hot Cyber lancia la serie “Chiama Ammiocuggino!”

    In un mondo dove ogni giorno si registrano migliaia di attacchi informatici, molte aziende continuano a sottovalutare l’importanza della cybersecurity, affidandosi a “sedicenti esperti&#...

    GPT-4 scrive un exploit prima del PoC pubblico. La corsa alla Patch non è mai stata così essenziale

    AI, AI e ancora AI. E sembra che l’intelligenza artificiale giorno dopo giorno ci porti innovazioni sia come difesa ma soprattutto, come attacco. L’intelligenza artificiale è gi...

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

    A lezione di IA a 6 anni: la Cina prepara i suoi bambini alla rivoluzione dell’intelligenza artificiale

    La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...