 הגיע הזמן לדב, קבלו את שי חן, מנכל אפקטיב סקיורטי, המון המון שנים ניסיון בפתחת מידה, היה סיטיור של EY עד לא מי זמן, הולך לדבר על The Unwanted Suns, formalizing and demonstrating WAF bypasses for the rest of the top ten. בבקשה. בוקר טוב לכולם, שי, ורציגו אותי, תחלס, עכשיו אני מכיר את עצמי קצת יותר טוב, רוק אוליק ופרפקציוניסטי חופת, בכל יותר זה הדמון נכון, ואני פה על דבר אתכם על כמה דברים מעניינים, אוקיי? קודם כל קצת על אפקטיב סקיורטי, אפקטיב סקיורטי מתמחה בפתרונות הפתחת מדע, ספציפית באוטומאציה שתהליך הפתחת מדע, וכאן נגמור את הפרסומות, מריצה כמה פרויקטי קהילה למיניהם, כמו רואפצה, פרויקט לשוואץ, קנרים רואפה, בפרויקט של הלב נדבר היום, פרויקט לשוואת רואפים וטק אי-פי, מוצר לקיטלוג של וונרביסטי זה מיניהם, והיום אנחנו נתמקד בטכניקות, הכיפה הטואפ, שהן פר, וקטור, תקיפה. על מה אני לא אדבר, אני לא אדבר על טכניקות שמעליםות רואפ, ביפרסים שמתעלמים רואפ, החלוטין, זה לא הסיבה של נשמע אני פה. הסיבה שאני לא רוצה להתמקד בכאלה וקטורים, כי הם כתירים בקלות, הם פחות מעניינים אותי באופן אישי, ואני מניח שתרוב הקהל של הפנטרסים שבודק או מתמודד מרואפים שוב ושוב ושוב על בסיפים יומיים. אני רוצה לתת טכניקות, או מטודולוגיה פלוס טכניקות, להתמודד עם רואפ כלשהו, בין אם הוא תקין ובין אם לא, בין אם יש לו וונרביסטי ובין אם לא, בהתאם לאופי העבודה של רואפי הקונספט, דברים שהם נצלים את אופי עבודה של רואפים. הולכים לדבר על טכניקות כאלה, קצת בניגוד להגדרה הסטנדרטית של רואפ. דרך השם דברים על רואפ, אומרים קלי, מודול, פילטר, איזשהו אלמנט, אם זה הפליינס, בנים זה פילטר לפני אפליקציה, שמתפל בהתקפות, כמו קרוסי, צקריפטינג וסקיון איג'אקשן. אנחנו נשתדל לדבר לא על זה ולא על זה. אנחנו התמקד טיפ-טיפה בייפסים שהם לשער התקפות, אותם התקפות שקצת פחות, יש להם צ'קליסטים וצ'יק-קישית, צ'יטים ועוד אלמנטים אחרים. בעיקרון, כקונסט, רואפ זה רק הגדמה קצת צרה, לקרל אני אריץ אותה כאי, אני קצת ביחור. רואפ זה איזשהו מודול שבא לפתור או לאתר התקפות גנריות, SQL, קרוסייט או S-Command Injection, ווד, ווד, ווד. התקפות שהם התקפות ידועות, בעיה בגרסת מוצר ספציפי, ואם יש מודולים סיימים לרואפ, גם נתמודד עם בוטים ועם עוד אלמנטים בעתיים, כמו תקיפה מכתובות ידועות של תקפים. כל זה תלוי באיזה מודולים יש או אין לרואפ, ששהרואפ יצליח לחסום התקפה, זה תנאי בסיס, הוא חייבת מסוגל לתמוך בקריאת הפרוטוקול שאותו הוא בודק, למשל אם רואפ לא יודע לקרוא סתם דוגמה, הוויב סוקטים, הוא לא צריך לחסום באופן אפקטיבי, והתקפות הלויב סוקטים. זוכב את סוגל לפרסר, להתמוך את הפרוטוקול, לפרסר את הפרמטרים השונים, אחרת הוא לא יודע לעצור או להבין מה ההתקפה, מה לא ההתקפה. בנוסף הוא צריך גם מסוגל לאתר את ההתקפה הרלוונטית, זאת אומרת, עם לו חתימות להתקפה שמתבצעת קגל, לא יום סוגל ללמלו את ההתקפה. רואפים שונים, כולים גם מנגיאונים אחרים, שמשלימים את המנגיאונים הבסיסיים האלה, בדמות מודולים. יש כמה מודולים עיקריים לרואפים. אני אמני אותם אחד-אחד, ולדברתי בטיפה על ההתרונות וכסרונות שכל אחד. קודם כל, יש אחיפת הפרוטוקול, אני לא אגב בזה בכלל, זה שהוא מודול שמתרתו, לחוף התקינות פרוטוקול ה-HTP, הפרוטוקול העיקרי שהרואפים מתמודדים את היום. יש את הנושא של נגטיב סקירותי, או בלקליסט, שזה מנגנון מבוסס חתימות, להתורות כפות, חתימות להס-קיואל, חתימות לקרוסטיית, חתימות להז-קומנדינג'קשן ועוד ועוד ועוד. יש את ה-Wightlist, זה פוזיטיב סקירותי, זה מודול שוחף לסדי הזה וזה, צריכים להגיע אוטיות מספרים, וזה הכל. מהן מודול שוחף מבנה, בדרך כלל, בסיס נימוד יוריסטי, או גדרות של אדמיניסטרטור, ויש מודולים קצת יותר חדשים, שזה אנטיוטומיישן, מה שמציגים או בתורם ITB, או כל מיני שומות כאלה, ומודול שמתרתו לאתר בוטים, באמצעות challengeים, בעוב המקרים, ומציג challenge, כמו challenge javascript, שהצד השני, חייב להיות בן אדם עם דו-דפן, בשביל לבצע פעולות עיבוד עליו, או שהוא מציג אבצע, או שהוא מציג כל מיני פעולות שרובוט, פקנר, כלי אוטומטי, לא יתמודד איתם, ובן אדם כנראה שכן. ויש את ה-IP reputation, שזה מודול שמתרתו לאתר, האם הכתובת הזו, הכתובת בעיית, היא מתור, כי מדובחת בתור, כתובת של שוקף, ועוד ועוד. אלה חמישה מודולים עקרים. והמודולים האלה, אני קצת מדרג השקפים בגללו שלנו, מתמודדים עם זה, עם הטכנולוגיה המודרנית, ועם תפוסה פיתוח, היום ב-2016. אז בואו נדברתים טיפה על הטרנדים הפיתוחיים האלה, ואיך משפיעים על וואפים, כקונסט. אז היום, כאילו, בתור תהליך פיתוח, אתם כבר רובכם, אני מניח, והם הולך לתמודדים, אני מניח שגם שם זה כבר מתחיל להגיע. בקונטינוסינטגרייישן, ברשתו פרודאקשן, בכל מיני תהליכים שבהם הא Applications פרודאקשן תקנה שוב ושוב ושוב, וכיצב מאוד מהיר. ואז התוצאת לביא של זה, היא שקשה מאוד, ללמוד את המבנה, את הכין של glaubים של אופליקציה, כי הוא כל הזמן משתנה. ויש גם את המבנה הטכנולוגי של אופליקציות. יש שלל טכנולוגיות, הוואפים צריכים התמודה איתם היום בבט של וקטורים ואיך נראה הקלט ואיך נראה קלט הקין ועוד ועוד ועוד ועוד כמו למשל יש לנו ריספונסים דיזיין ישנו אפליקציות שמשרטות גם מוביל דיוויסס שאין להם תהיכולת להגיב לרוב הצ'לנג'ים של אנטי אוטומיישן, סתם דוגמא נגיד שיש לי נאטיב מוביל אפליקציין שם תקשר עם איזשהו סרבי, אוקיי? אז בסיטואציה הזאת, אותה אפליקציה לא מסוגלת להגיב לג'אבה סקיריב צ'לנט שהוואפ יחזיר לה אז התוצאה השירה של כל זה היא שהרבה מאוד מה, הם מודולים הסטנדרטיים הנוספים שהם לא בלקליסט, לא מסוגלים לתפקד בהרבה מאוד באמפליקציות מודרניות למשל, הוואטליסט, אותו מודול שאמור להגיד רק ה' ו' ו' בפרמטר הזה וזה לא יכול ללמוד את המבנה של אפליקציה כי כל הזמן משתנה, הוא יוצא הרבה מאוד פולס פוזיטיבס ואז כברת מחדל הוא בדרך כלל מבוטל על רוב האפליקציה המחריה או למשל אנטיוטומיישן, אנטיוטומיישן צריך להציג צ'לנג'ים לעשות צד שיגיב עליהם, צ'לנג'ים כמו קפצ'א או צ'לנג'ים של ג'אבה סקיריבט אבל אם בצד השני אין דף דפן, זה יהיה פלס פוזיטיב, זה יהיה זוי קיבוט, למרות שזה לא בוט אז גם המודול הזה הרבה פעמים בוטל, והאי פרפיטיישן, א' זה מודול קשה ובעייתי ובת, הרבה פעמים מתוקרף יכול למשל לבוא מכתוב את ה-IP של ספאק סלולרי אם מתוקרף מגיע מכתוב את ה-IP של ספאק סלולרי, יש דווח כתובות מאוד מצומצם וחסימה של אחת מקטובות על את בעצם תחסום הרבה מאוד לקוחות אז גם אם זה ניתן להתמודד ברמת תוקף פטאמליין, או מה שהיא מנסה להגיד, זה לא קוללני, זה לא תמיד המצב אבל בהרבה מאוד מקרים באפליקציות מודרניות, ב-2011, זה משאיר לנו רק מנגנון אחד שעושה את העבודה, או מסוגל לתת עבודה, זה המנגנון, אותו מנגנון שצחקנו לב לאורך שנים אמרנו שהוא עקיף, נכון, של הבלקליסט, אותו מנגון לכאורה מיושן וזה המנגון היחידי שבעצם יעבוד ברוב המחריע של המערכות בלי קשר הטכנולוגיה אוקיי? עכשיו, יש עוד סיבות שהמודולים האחרים האלה מבוטלים כמו פולס פוזיטיב, זה למשל, פולס פוזיטיב, זה אחד הרבה יותר לפוצות ברואפים אתם תשימו לב שרואפים שאונליין, קלאו, צילוברליין, אינקאפסוליו, וכולי וכולי הרבה פעמים מבטלים הרבה חתימות רק שלא יפולס פוזיטיבס בגלל תגובה של הצחן של לבטל לשרת רואפ, אוקיי? אז הרבה מאוד מהחתימות, ורבה מאוד מהמנגנונים האחרים, האנטיוטומיישן וכולי וכולי יבוטלו בחלק מהאפליקציות כתוצאה מכך, אוקיי? אז מה המטרה שלנו פה? אני רוצה אתכם איזשהם מטודולוגיה לרואפ ביפס, שהיא לא תלויה בהקיפה המוחלטית של הרואפ, היא לפי הטכנולוגיה שיש לה אפליקציה, ולפי תפוסי ההתנהגות, ולפי הקונפיגורציה ספציפית של הרואפ הזה, אוקיי? זה הכיוון. עכשיו, שילעשות את זה צריך לפשט רואפ ביפס, אוקיי? כי חושבים על רואפ ביפס, חושבים על אנקודינג על אנקודינג על אנקודינג, מה שהוא מאוד מורכב. אני רוצה לפשט התהליך, אני אעשות אותו א' בית גמל, לשכולם יקל להבין מהרעיון, ואז לחסוך את העבודה. תתת לכם מה על 10,000 פלודים מוכנים, ורואפ ביפס, תוכי להשתמש בהם בכל מקום ובכל מקום שאתם רוצים. אז מה יש היום? אוקיי? אם עכשיו שאת חפשו רואפ ביפס באינטרנט, תגיעו לכמה דברים, קודם כל, עשיתי לכם עבודה קצת, למי שרוצה, יש אקססס צ'י צ'י צ'י צ'י עורס, פחות או יותר, זה מה שהתמגדות, חפשו עכשיו א' קומן דינג'קשן רואפ ביפס צ'י צ'י, תגיעו לשום דבר, קנה לאלפה, קנה לרובה התקפות האחרות שיש. למעשה, יש מעל 300 התקפות ממופות היום, אני מקווה שיש לגישה לאינטרנט בצורה כזה או אחרת להרות את זה, רואים? רואים? רואים כלום. קצת שנייה, יש מעל 300 התקפות ממופות היום, אם יש חתימות רק לקרוסת, סקריטינג וסקריטינג'קשן, אז כל התקפות האחרות, אם תנסוי פעם לקוף רואפ, ששלו חתימה עליהם, תתתקו בידי דנט, כי אין איזשהו מאגר. תהיו פרשות עצמכם. אז גם אם תם פרשות עצמכם, וגם אם אתם לא פרשות עצמכם, פחות או יותר, אתם תשתמשו ב' צ'י צ'י צ'י צ'י' שיש שם, או תסתכלו להמציא את זה לבד. כלים אחרים שיש לכם, רואפ, מואפ, נינג'ה, רואפ לה, לזכו, לבחו, לבחו, הם ברוב המקרים גם כן כלים שמתמגדים בבייפס כללי, קצת פחות ברמת הפרוקטור, למות שחלקם משתמשים באיזשהו שימה, היא קצת פחות לכל השלוש מאות התקפות שיש בהפסק. לא מעט זאת, תיקחו, נגיד, את שער התקפות. יש לנו פרויקטים כמו אוס פטאקס, אוס בונרביליטיס, CWE, קפק, כל הלאי פרויקטים שממפים הטקוקטורס. פחות לא בכנה מידע רחב. אז מהם? אין וקטורים, פעילודים, אבנה בניין, מטודולוגיות וכולי וכולי, לכל שער השלוש מאות וקטורים. זה מה שאנחנו נשים כאן נפתור בפרסום של וואף, אוקיי? הפרויקט שלה ואנחנו מדברים כרגע. אין מטודולוגיה, מובנה פחות יותר, ואין דרך פשוטה לא לחסם תוך כדי תהליך המיפורי. עכשיו אני פנטסטר, אני מגיע לבדוק וואף של אגון, אני רוצה לבדה מה עובד לי ומה לא עובד, אני רוצה להלכסם בתהליך הזה. אין גיידלנים שעוזרים לי לעשות את זה. אוקיי? Which brings us to, לגצת על כמה שקפים, מה שאנחנו נעשה כרגע. אנחנו נעבור על כמה וכמה התקפות לדוגמה. נסביר את הפילוסופיה המאחורה, מטודולוגיה של בניית התקפות, Evasion, לאותם מקומות פגיעים, נדבר על הביוז של התקפות שונות ואיך הם עוזרות אחת לשנייה, והן דבר על איך הוקפים, הוקפים שליסטים וויתליסטים, בלי לחסם, אוקיי? הופכות באחוז גבוה בלי לחסם. אז אמטודולוגיה פשוטה. קודם כל, שאנחנו מבצעים דיקת Wafavasion, אנחנו רוצים להגיע למקום שכמה שפחות מודולים של הוואף עובדים עליו. בשביל זה, בידיליה, אנחנו רוצים חלק יחסית חדש של האפליקציה, שאם במקרה יש הויתליסט של עומד, הוא לא עובד עליו, אוקיי? זה מקום אידיאלי. מקום נוסף אידיאלי, למה המטודות רסט? כי הרבה מאוד פעמים, בצד השני, יהיה צ'לנג'ים, שלא יעבדו על מוביל דיוויסס, אז למטודות הסופציפיות האלה, לא יהיה אנטי אוטומיישן, אז גם אם נריץ הרבה מאוד פיילודים, הסבירות של משהו יחסום אותנו הוא מאוד מאוד קטן. אוקיי? כמובן שחומה דיפים גם כל מיני מקומות כמו פריטקס, יו חולב חולב חולב, אבל זה ברמה הכללית של איך אני מבדה כמה שפחות מנגלונים עובדים עליי. ויש גם את הנושא של איך אני מבדה שאני לא יחסם. כמה שפחות מנגלונים עובדים עליי זה חלק אחד. איך אני מבדה שלא יחסם? אני, בהרבה מאוד מקרים, יהיה עדיף לגשת אומקטובות של מובי, ממש, לקחת את האנסט שלכם, להדליק הווארלסאקסאס פורנט, להתחבר את ערכו, בשיפה כדי שבגלל, שאולי בגלל כתווח הקטובות המצומצם, אתם באיזשהו אקסקלודליסט, ולא יחסמו אתכם ברוואף של הצד השני. אוקיי? זה המחינת תשתית. מקום שהוא פחות מוגם, בידילי, אז עניין של מיפוי, זה הכל, ואולי איזשהו מוביל, כאילו, כתובת היפי של מוביל, או כתובת נימית, משהו שפחות סביר שיחסם. מה השלב הזה, זה כבר מה שאנחנו עושים. על הראשון שאנחנו רוצים לעשות, למרות שזה לא ראשון מפי הסדר, זה טארגיט אנאלאסיס. אנחנו רוצים להגיע ולהראות מה התעבורה הלגיטימית שנשלחת לאותו טארגיט. למה? סתם דוגמה, נגיד שהאטר עצמו, יש לו פיצ'ר לגיטים, משקבל יורלים. חלק מהדברים שהם תחתים כדבו שמה, זה יורלים בתוך פרמטרים. אוקיי? אם יש בהטר הזה יורלים בתוך פרמטרים, סביר להניח שחתימות RFI הם מאוד פרמיסיב לאותו הטרג, כי אחרת זה לא יעבוד. כאילו, זאת אומרת, כמו התכנולוגי, עירם מה נשלח לשער הפרמטרים לפי זה, אני כבר ידע מה המצחק שלי. העידה איזה חתימות חייבות להיות סלחניות יחסית לפני שנים מתחילת עבודה. דבר שני שנסה, זה נראה מההבני הבסיס ומה הוואף בדרך כלל חוסם. אני אסתם, נשים חוונה. את הפיילודים בולטים יותר לראות מה הוואף חוסם ומה לא. אני בעצם יבודד את הבני הבניין שלי. טיפ טיפה להדגים את התהליך המטודולוגי הזה, על התקפות אמיתיות שהם לא צעקניות SQL קרוסאי, צד פחות מדברים עליהם, אוקיי? אז ידברתי טיפה על בייפסים לאסי שרף, סרו-סיידר קורס פורג'רי ורימוד פיילינקלולג'ן. אין לי קצת הזמן איתם יודע לדבר על התקפות, אבל בעיקרון, זה דרך שלנו להחליל תוכן מתוך הארגון ולהצטקה עליו או להחליל תוכן קיצוני ולראותו בקונטקט של האתר. זה כאילו בעשרים אלף רגל. אז סתם דוגמה, ברוב המקרים או שיש חסימה על HTTP לחלוטין אלא יכול להזריק HTTP לאותו עתר או אם זה עתר שיש לו WAF שפוי של עמד לאורך זמן וספג false positives בהרבה מאוד מקרים יצמצמו את החתימה להגיד משהו בסגנון של רק מותר להכניס HTTP בתור פרמטר אבל רק עם הדומין אחרי HTTP זה הדומין של האתר עצמו. אוקיי? שתה לזה חתימות מאוד נפוצות שאלה RFI שאנחנו צריכים התמודדת בתור Hacker ויש כמה דכים מעניינים לעשות את זה אני אתחיל דווקא עם המפוי טכנולוגי עכשיו RFI זה התקפה או SSRF זה התקפה שבסופו של עבר מאחורי הקלעים יש קלאס בקוד שמקבל את היורל בתוך פרמטר ועולך ומביא תוכן שיש ביורל הזה. התוכן הזה יכול להיות את הכתוב טיפי של הראוטר הפנימי ואז יכול להביא סתם דוגמא את המשקנו של הראוטר או תוכן חיצוני שאומרו להחליל בדאף קרוסייד פישינג או אפילו קוד זה לא משנה יש קלאס שניגש לי יורל שום קבל עכשיו הקלאסים האלה משתנים דרמטית בין טכנולגל טכנולוגיה יש את Htp קלאנט של הפאצ'י יש את Htps יורל קונקשן של ג'וואי יש משהו אחר בדוטנט כל אחד ואחד מהקלאסים האלה תומך לא רק בHtp ולא רק בHtps ואפילו לא רק בFtp הוא תומך בשלל פרוטוקולים שונים בואו נראה למה אני לבר סתם דוגמא יש פה עתר שהכינות היא מראש אני מקווה שחנתי אתו האמת שלא חנתי אתו מראש אז אני אנסה להרים אותו לשבריר שנייה בזמן שאני מדבר איתכם כבר לא בספרתי יש לי סקיורתי בינתיים שהמוצא רולה בעיקרון בואו נסקל כאן על dvwa בעיקרון יש לי פה שתי רואפים להדגים לכם עליהם יש לי פה מאוד סקיורתי עם אוס פקורולסט חוקים עדכנים ויש לי פה הוויב נאית רואפ אחר הייתי מדהים על רואפים סחרים והייתי חושש מצביעה אתה נראה אז אני אקח כאן פייל אינקלולג'ן זה דף פגיע לוקל פייל אינקלולג'ן ולמוד פייל אינקלולג'ן לא אני אשלח הדף הזה http qtimeslash www לא משנה לא משנה מהכתובת הטק רואה שנייה טוב שאמרת אמני חצי שעה אחת היא עוד ככה עדיין לא ביטלתי אז היקנה אז היקנה רגע אז יש לי פה dvwa מוגן עם מאוד סקיורתי אם אני אשלח עכשיו לdvwx קצת קשה לראות את זה נתחיל לי לראות אוקיי אני אשלח פה http.ac.com לא משנה מה היעורל כלשהו slash page jsp סתם אני ממציא פה כל משתויות אוקיי הוא יחסור אותי הוא יחסור אותי כמו זה שהפרמטר מתחיל בhttp.com מה הוא לא איזה הוא לא איזה את הפרוטוקול הבא שנתמך על ידי ג'ווה ועל ידי הרבה שפות אחרות ג'ר נקודותיים שומע פעם לפרוטוקול הזה לא בואו נראה אותו פרוטוקול ג'ר מובנה בhttp.jr קונקשן http.sr קונקשן ופאצ'י http.client יודע לגשת ליורל מרוחק להוריד קובץ זיפ ולגשת לפרוטוקול ספציפי בתוך קובץ זיפ בואו נראה אם יש לי איך להראות את זה אני אמרה פה כרגע גישה לג'ר מרוחק שבתוך כבצים בתוך חג'ר מרוחק זה יכול להיות גם קובץ זיפ או כל סוג של קומפרשן זה נתמך אוקיי אז אני הגש כאן יש לי פרודיו פגיע להרפאי אני הגש עם פרוטוקול ג'ר רק תראו תראו מה קורה ירד לי קובץ ירד לי קובץ שהוא בעצם אותו קובץ שהיה המקובץ בתוך הקובץ ג'ר שלו אוקיי הלייסיון של הפאצ'י שוצאתי מתוך מתוך הג'ר אז הראון הוא בעצם מה שאני אסתית להגיד ומסתר אם לא שמות חצי דק האחרונה הוא שיש הרבה פרוטוקולים שחפרתי על זה הגליתי שיש SMB ספידי FTP FTPS ועוד שלל פרוטוקולים ומשתנים בין טכנולוגיה לטכנולוגיה זאת אומרת נגיד סתם בגמרי אני רוצה להקוף חתימות של הרפאי לא אני עושה את העבודה שלכמו שצריך ואני לומד איזה טכנולוגיה יש באתר אני הילך אוקיי זה דוטנט זה המחלקה בדוטנט שהיא פגיעה על הרפאי לכאורה מה הפרוטוקולים שיתומכת בה ומה שלב הזה אני יכול להקוף את החתימה את רוב החתימות זה אגב לדעתי כל וואף שאני אצא לי לא רוצה כאלה אפליל או אנשים מי אף חמש או אימפרו ומכילים את הדביעה כל וואף של לי אצא לגד בסדר אז דוגמה אחרת אוקיי דוגמה אחרת זה להשתמש בדף הרפאי כנגד עצמו נקרא לו לאת הרפאי מה הרעיון בוא נגיד שאתה רויותר פרמיסיבי בחתימות וואף הוא אומר מותר להכניס ה-HTP אבל רק אם הדומין הוא הדומין של האתר עצמו מה אני יכול לעשות אני יכול לקרוא לדף שפגיע ל-RFI נגיד שאני עכשיו בדף שפגיע ל-RFI לקרוא לעצמי פעם אחת או פעם מים ואז לקרוא בסופו של דבר להביא כפרמטר את הדף של התוקף אז כאילו הדף הרפאי קורא לעצמו וה דף הבא בשרשרת קורא לדף של הפורץ ונגיד את הרעיון בוא נצער איזה טיפה אני אעלה שאני זה דווקא עובד רק עם החתימות על וואף מה שנקרא אמיתי תנסו את זה על כאילו רופאי קלאוד למיניהם לא אמרתי שמות כן רופאי קלאוד למיניהם זה אדיל אז אני אגר כמה גדיל כאן זה נגיד דף פגיע ל-RFI הוא מקבל כפרמטר מסלול שאני יכול לשלוח ב-HTP אז במקום לקרוא לפרוטוקול אני אקרא לדף זקנה זקנה אמרתי כרגע אני אקרא לדף עצמו אוקיי ואז הוואף רגע יש פה קריאה ל-HTP אבל זה לדומין עצמו אבל הדף עצמו שירוץ מקומית יקרא לדף של התוקף יביא את העם? תודה שבמלולה הזו אני יכול לעשות סוף-סוף משחקים מאוד מעניינים כמו למשל נגיד שהוואף בודק שתי שכבות, שלוש שכבות אז זה בדיוק הדוגמא המושלמת לעשות encoding וdouble encoding וtripple encoding כל שכבה תמקודל את בולדרמה כדי שהוואף הצלחית מודד עם זה אוקיי זו הדוגמה דוגמה אחרת זה יורל רלטיבי אוקיי אני נריזז אה זה חמש תקות אוקיי אני אקצץ בדוגמאות אני יכול לדבר רק שתי עד כפות את צערי הרב אוקיי דוגמה אחרת זה יורל רלטיבי זאת אומרת יש דפדפן מאחורה אם יש מנות דפדפן שהוא סיבה על הפגיעות ל-rfi זה לא סוג קלאסש מנון יכול גם משתמש במסוללת דפדפן כמו למשל במקום להכניס ה-htp להכניס מקביל בדפדפן אוקיי ווד ווד ווד ווד זאת אומרת הלימות הטכנולוגי לאותו טר לאותו וואף יכול לעזור לי להקוף תחתימה באופן ספציפי לא משהו גנרי אוקיי דוגמה אחרת זו os command injection בסדר סופה הכי חזקה שיש שאיסקודינג'קשן מגיע לרמת גבוהה שלו סופה שדבר הוא מגיע ל-command execution זה בערך מה ש-os command injection עושה בהתחלה הרבה פעמים יליך התימות וואף שחסמו אותי במבנה הרגיש של התקפה למשל יהיה לי בואו ניכנס חצי שנייה לדיווי ניכנס שנייה ל-command execution אתם תראו פה סתם דוגמה נגיד שאני מכניס פה כתוב טי-pms נגיד לא קלוס אוקיי כן נכון נכון נכון כן טיש פייק עוואל לא קלוס טיש טי-ביק affirmation אוקיי, אמפרסנט זה אותו לבר, זה פשוט במקום פייב זה וגם, זה גם הפקודה הזו וגם פקודה הזאתי זה עשה אואף בייפה סנקי באוברואףים שאני מכיר, אוקיי, אז הוא מריץ את ההפקודה וגם את הנושא האחר ויש עוד פרמטרים, יש הפניות פלט, קטן מקטן מי, גדול מגדול מי, יש עוד שאלה לחתימות ויש משהו אולטרמגניב שהוא פר מהחתפלה, לפעמים אואףים מתמודדים עם חתימות נגד אוס קומנד אינג'קשן הם אומרים, אסור פרמט, אסור פקודה לפי שמסוים, אוקיי, כאן תוון נל של מערכות הפלע, או תווים רקים באים לעזרתנו למשל, מה איכת וינדור, נגיד שאני אעשה דיר, דיר בווינדור זה אפשר לשום גם ככה, עם שיף שש שיף שש בווינדור זה מי שלא מכיר, זה טו ורק שומר כלום, שאנחנו נסתו איפה שאתם רוצים וכמה שאתם רוצים לך, דיר עם שיף שש שש, עובר חלק, בלינוקס המקפילה זה דולר גרש גרש, זאת אומרת גם את המבנה של המשפטים אני יכול להקוף, בזה שאני יודע מה הטכנולוגיה מאחורה, אם אני מבצע הפעולק מפוי כמו שצריך, אוקיי עכשיו, אני רצתי פטיפה קדימה, יכולתי לעבור איתכם כאן על שלה, על התקפות, לא היה לי זמן ויהיה לי קצת מזל יותר אבל אין מה לעשות אין לי, אז מה הרעיון, יש לי פרויקט כבר שנתיים בפיתוח, נקע רואפאפ, אוקיי אני לא טוב לשמות, זה לא חלק חזק של לשמות שיווקים, רואפאפ, אה לי דומה אז לקחתי, אולי קצת גנףתי לאופר שזב פה את פרואפאפ, רואפאפ אבל מקווה שהסלח לי ומה שהפרויקט הזה עושה, הוא ממפה לעשר התקפות כיום, בעתיד לעוד התקפות, אלפי פעילודים, אלפי בילדין בלוקס, לפי הרעיון הזה מפוי טכנולוגי, פרקלאס, פרקלאס מאחורה, ווד ווד ווד, למשל אני תכם פה אה, לא יודע אם יש לי פה את זה מודכן טוב שאיגן, אולי יש לי פה את האתר, אולי לא, רוב הסיכויים שאין לי, אנחנו נעבור מצגת למחשב הפחות יפה אנחנו נסתח להדגים וואפי בלי וואפי, לצבי ערב, במקרה מהפרנוי היה אכנתי מראש, חצי זמן שלאות, אוקיי טוב, זה יהיה קשה להדגים וואפי בלי וואפי, תן לי חצי שנייה? טוב, בעיקרון מה שהפרויקט הזה עושה, הוא מנסה למפות וקטורים כדו אחרי והוא היה לי, קצה נורמלית, הייתי מראה את הפרויקט הזה, הוא יהיה זמין אונליים וגיטב, מה שהוא עושה, הוא לוקח פיילודים שלא לפעה עם פאסט הרבה סייאלורסקומנט איג'קשן, ווד ווד ווד ווד פיילודים, ונותן לכם את היכולת להריץ אותם לפרמטר ספציפי למה שנמצא לעשות את זה? נגיד שאנחנו באים לי ארגון, ואנחנו באים לי מקור לו מבדק אחרים ואני אגיד לו, תשמע, בואו נעשה פנטס תרגיל, בואו נבחן לך את איכות החטימות של הוואף, סוג החשן מבדק יכול לקחת פרמטרים שונים באפליקציות שאני רוצה להריץ עליהם, ובצע הבדיקה יסודית לכלל החטימות של הוואף לו ולהגיד להרגון, ותרובה לי, תשמע, החטימות הבאות ובאות עוברות אותך, ומה שאתה צריך תקן בוואף זה ככה וככה בשביל להתמודד עם הווקטורים האלה, או לבוא לו בכיוון ההפוך, לבוא להריץ את המוצר הזה ואני רוצה להגיד, תשמע, יש לך החטימות רסטריקטיב מדי, אם יש לך שדות פריטקסט או צ'טים באתר, זה יהיה לך פולס פוזיטיב, זה בגלל שאתה מבצע פולות אחרות הפרויקט בא למדוד גם וקטורות כיפה של הוואז'ן, וגם את הצד ההפוך חטימות שהן רסטריקטיב מדי, ויהיה להם בעיות בשדות מסוימים הפרויקט יזמין בגיטב, אני אשלח את הכתוב את המדואג את דרך הטוויטר שלי רק קצת ציקום קטנטנה, קטן על מה הרעיון כאן סופו של דיבר דיבר לא מטודולוגיה על הכיפה הטוואפים, הסברנו את ההבדל בנקיפה הקלאדית של הוואף להקיפה ספציפית, לא טוב וקטור לאותה טכנולוגיה לקונפיגורציה ספציפית של הוואף, כמה גיידליניים, כשאנחנו מבצעים כזה מבדק, אנחנו נצפלים לחלשים, אנחנו נצפלים למקומות שסבירות שהמודולים שם לא מופעלים כמו REST API שנותנים שרותים למוביל או חלקים שונים של האפליקציה, אנחנו לומדים על האויב, אנחנו לומדים על הטכנולוגיה שאותה אנחנו בותקים, מה הוואף חושם, איזה טכנולוגיה שמהחורה כלעים באתר, איזה סדות קלת בדרך כלל נשלחים בפרמטרים נגיטימים, שנדמה המשחק, אנחנו נכנסים למפרוי סודי של בלדינד בלוקס, עם הוואף ופהם כלי אחר, ששולח אלפי פלדדים שהכתבים האלה ואלה ואלה עוברים, אפשר להשתמש בין, אוקיי? רק אחת אנחנו נוצאים את התקפה עצמה שאנחנו רוצים בפועל לקוף את הוואף בשבילה, הרבה יותר פשוט. הכתובת של הפרויקט תפרוסם בטוי תרבה, נגמר לי זמן, נכון? זה הכל, אוהבת חמשים, כל טוב. קהל שאלות? כן, שאלות?