Executando verificação de segurança...
2
filipedeschamps
2 min de leitura ·

Alguém rodou ontem um Scan a procura de falhas no TabNews

Ontem de noite eu recebi um alerta no monitoramento do TabNews sobre muitas requisições e requisições com erro. Ao investigar, notei que alguém passou um scanner que procura por diversos tipos de falhas, tentando combinações diferentes de endereços e caracteres na URL e também tentando descobrir arquivos sensíveis.

Achei curioso vocês virem esse lado do projeto, então estou trazendo essas informações para cá, caso isso cause uma discussão interessante.

Isso aqui foi o pico de requisições, onde:

  1. Successful Requests: requisições dentro do range 200
  2. Bad Requests requisições dentro do range 400
  3. Errored Requests requisições dentro do range 500

Quantidade de requisições Web no TabNews com Sucesso e Fracasso

E das Bad Requests, que significa que o scan tentou acessar algo mas recebeu retornos como 400 ou 404, destaquei numa planilha de Excel quase 500 itens para vocês conferirem o que ele tentou cavucar:

Tentativas do scan

A planilha está acessível por esse link e abaixo destaquei o que achei de curioso, porque se você de fato estiver expondo um servidor com esses dados, vai ser pego por esse scan facilmente:

  • /.env.prod.local
  • /message?title=x&msg=%26%23%3Csvg/onload=alert(1337)%3E%3B
  • /debug.php
  • /controller/login.php?acao=autenticar
  • /wp-config.php-backup
  • /cgi-bin/weblogin.cgi?username=admin';cat /etc/passwd
  • /log/access.log
  • /XmlPeek.aspx?dt=\\..\\..\\..\\..\\..\\..\\Windows\\win.ini&x=/validate.ashx?requri
  • /www.tabnews.com.br_db.sql
  • /catalog.php?filename=../../../../../../../../../etc/passwd
  • /www.tabnews.com.br.sql.xz
  • /tabnews.sqlitedb
  • /....%5C....%5C....%5C....%5C....%5C....%5C....%5C....%5C....%5Cwindows%5Cwin.ini

E tem muita coisa na verdade, a lista completa vai longe.

As requisições vieram de um único IP localizado em **** (removi, a pessoa se identificou), caso você seja o autor e deseja reportar os resultados, você pode reportar aqui no próprio TabNews caso não tenha encontrado informações que possam prejudicar outras pessoas. Caso tenha encontrado informações sensíveis, peço que primeiro entre em contato pelo email [email protected] para depois publicarmos um Post Mortem aqui com 100% de transparência 🤝

Carregando publicação patrocinada...
3
quintanilha

Fala pessoal! Foi eu quem rodei esse scan, depois de ver o post do @lengo (https://www.tabnews.com.br/lengo/falhas-de-seguranca-no-tabnews) falando sobre as vulnerabilidades encontradas com a ferramenta Acunetix. Vi também que o pessoal se interessou, inclusive o Filipe.
Trabalho com segurança e de forma alguma quis "mascarar" o meu IP, sobrecarregar o servidor, ou lesar a comunidade de alguma forma. Esse scan é bem comum e bastante utilizado e de certa forma causa muito "barulho" mesmo e acaba pegando muitas falhas simples e muito misconfiguration. No caso, não foi encontrado nada de relevante e se houvesse, eu teria entrado em contato com a equipe do Tabnews antes de qualquer post ou algo do tipo (talvez um Post Mortem?).
Bom, a intenção era de fato encontrar falhas e comunicar para correção, para o bem da comunidade e o aumento da maturidade da aplicação.
Para quem tiver curiosidade a ferramenta utilizada chama-se Nuclei e é baseada em listas de templates de falhas de segurança constantemente atualizadas pela comunidade. O projeto é bem bacana!
Link do projeto no Github: https://github.com/projectdiscovery/nuclei

2
filipedeschamps
Autor
Autor

quintanilha sensacional meu caro, muito obrigado por esse teste e também vir reportar aqui! Não se preocupe, pois nada foi lesado e logo imaginei que foi alguém que se sentiu motivado pelos últimos posts que fiz sobre segurança da informação, esse era o objetivo mesmo. Quanto mais convidativo for o TabNews para pessoas que trabalham na área de segurança, mais seguros todos estaremos.

E sobre o Post Mortem, como escrevi na publicação original, sou super a favor e nada dos bastidores do TabNews será escondido... isso aqui é um projeto que todo mundo da comunidade deveria "viver juntos" e por isso entenda viver tudo que um projeto em produção pode proporcionar, sejam coisas boas ou ruins, tudo é valioso 👍

E também eu estava louco para saber o nome desse software. Muito obrigado por trazer aqui 🤝

Qualquer outro teste que rodar, sugiro até criar uma publicação avisando antes do que vai acontecer, o que vai ser testado, e depois publicar os resultados, e daí posso compartilhar também o que apareceu aqui do meu lado. O que acha?

PS: Editei a publicação para esconder a localidade agora que você se identificou.

2
lyma

Bem transparente sua atitude em divulgar o teste e do pentester em assumir!

Uma dúvida me ocorreu... você usa o serviço da cloudflare de WAF para proteger o tabnews?
Caso não use, acho muito válido. ;)

Um abraço!

1
filipedeschamps
Autor
Autor

Show Lyma! Ótima pergunta!

Por enquanto não e também acho muito válido. O problema é que ao investigar como fazer isso com a Vercel, muitos problemas de incompatibilidade podem começar a acontecer. Infelizmente os efeitos colaterais, principalmente nos estáticos, podem começar a atrapalhar tudo mais do que ajudar.

Mas não está descartado usar Cloudflare não 🤝

1
gdalfovo

Muito provavelmente o scan usou algum proxy para confundir a origem. De maneira geral, é muito comum esse tipo de scan e com listas de URLs extremamente extensas. Recebemos esse tipo de scan diariamente em varios projetos com a origem mais variada possível.
Bem, não há muito o que fazer, o melhor é colocar uma camada intermediária para tratar isso (aka Cloudflare).

1
4code

Qual tipo de informação, ele esperava encontra?

Aqui é apenas uma comunidade , com objetivos bem específicos.

A muita pessoa de má Fé.

Quero mesmo só derrubar uma comunidade que cada dia cresce significativamente?
Não faz isso, Deus não gosta de pessoas Assim.

Abraço, e tenha uma ótima continuação.