[{"data":1,"prerenderedAt":160},["ShallowReactive",2],{"track-bits-n-bites-de":3},{"id":4,"title":5,"backToProgram":6,"body":7,"description":144,"differentiator":149,"extension":150,"intro":151,"meta":152,"name":153,"navigation":154,"owasp":149,"path":155,"seo":156,"stem":157,"tagline":158,"__hash__":159},"tracks\u002Fde\u002Ftracks\u002Fbits-n-bites.md","Bits n Bites: Deep Dive","Zurück zum Programm",{"type":8,"value":9,"toc":143},"minimark",[10,15,19,23,26,29,32,40,74],[11,12,14],"h2",{"id":13},"warum-es-in-der-echten-welt-zählt","Warum es in der echten Welt zählt",[16,17,18],"p",{},"Das sind keine theoretischen Schwachstellen. 2017 verlor Equifax 147 Millionen Datensätze, weil ein einzelnes Web-Framework nicht gepatcht wurde. 2023 kompromittierte eine SQL-Injection-Schwachstelle in MOVEit Daten bei mehr als 2.000 Organisationen. 2012 ermöglichte ein Mass-Assignment-Bug bei GitHub einem Angreifer, seinen eigenen SSH-Schlüssel zu jedem Repository hinzuzufügen. 2016 legten fehlerhafte Zugriffskontrollen bei Uber 57 Millionen Nutzerdatensätze offen. Bits n Bites kombiniert all diese Schwachstellenklassen in einem einzigen Ziel, denn genau so scheitern echte Anwendungen: nicht durch einen einzelnen Fehler, sondern durch eine Kette von Fehlern. Der Track beginnt so, wie ein echter Angreifer beginnen würde: mit der Auswertung geleakter Daten aus früheren Datenpannen. Zu wissen, wie man diese Schwächen erkennt und verbindet, ist der Unterschied zwischen sicher ausgelieferter Software und dem nächsten Incident Report.",[11,20,22],{"id":21},"was-teilnehmende-analysieren","Was Teilnehmende analysieren",[16,24,25],{},"Das Ziel ist Bits n Bites, eine mobile Liefer-App, deren API-Endpunkte fast alles tun, außer Nutzerdaten zu schützen. Bevor die App selbst untersucht wird, wird ein geleakter Equifax-ähnlicher Datensatz in Azure Table Storage abgefragt. Unterschiedliche Login-Antworten helfen anschließend dabei, aktive Konten zu identifizieren. Von dort reißt die Angriffskette nicht mehr ab.",[16,27,28],{},"Boolean-basierte Blind-SQL-Injection im Restaurant-Suchendpunkt ermöglicht die Extraktion von MFA-IDs, die die UI nie anzeigt. Insecure Direct Object References geben TOTP-Secrets anderer Nutzer preis. Eine Mass-Assignment-Schwachstelle erlaubt die Übernahme von MFA-Konfigurationen, die das Frontend absichtlich versteckt. Clientseitiges JavaScript verrät hartcodierte AES-Schlüssel. Stored XSS im Fahrer-Händler-Chat stiehlt Live-Authentifizierungstokens. Und eine XML-Exportfunktion, anfällig für XXE, wird zu einem Server-Side-Request-Forgery-Werkzeug, das das interne Finanzledger erreicht.",[16,30,31],{},"Jede Schwachstelle führt zur nächsten. Statt isolierter Übungen entsteht über 13 Challenges und 5 Phasen hinweg eine einzige, durchgehende Angriffskette: von einem geleakten Datensatz bis zum internen Ledger, das die Geldwäscheoperation beweist.",[33,34],"challenge-highlight",{":items":35,":stats":36,"description":37,"eyebrow":38,"title":39},"[{\"title\":\"Equifax-ähnliche Datenaufklärung\",\"tabLabel\":\"Data Recon\",\"description\":\"Der Angriff beginnt, bevor die App selbst untersucht wird. Ein geleakter Datensatz in Azure Table Storage wird mit OData-Filtern abgefragt und anschließend mit dem Login-Formular der Plattform abgeglichen, das durch unterschiedliche Fehlermeldungen die Existenz von Konten verrät. So machen echte Angreifer Datenpannen zu Waffen.\",\"type\":\"gif\",\"src\":\"\u002Fcontent\u002Fgif\u002Fbits.gif\"},{\"title\":\"Boolean Blind SQL Injection\",\"tabLabel\":\"SQL Injection\",\"description\":\"Der Restaurant-Suchendpunkt liefert Ergebnisse oder eine leere Liste zurück, abhängig von einer injizierten booleschen Bedingung. Keine Fehlermeldungen, keine Timing-Tricks. Nur wahr oder falsch, Bit für Bit, bis MFA-IDs extrahiert sind, die die API verbergen sollte. Dasselbe Muster stand hinter dem MOVEit-Vorfall, der 2023 mehr als 2.000 Organisationen kompromittierte.\",\"type\":\"video\",\"src\":\"\u002Fcontent\u002Fvideo\u002Fbits.mp4\"},{\"title\":\"Mass Assignment & MFA-Übernahme\",\"tabLabel\":\"Mass Assignment\",\"description\":\"Das Frontend versteckt das MFA-Ownership-Feld, aber die API akzeptiert es. Ein präparierter JSON-Body mit der E-Mail einer anderen Person und einer eigenen MFA-Settings-ID reicht aus, damit die Plattform deren zweiten Faktor neu zuweist. 2012 ermöglichte dieselbe Schwachstellenklasse bei GitHub einem Angreifer, seinen SSH-Schlüssel zu jedem Repository hinzuzufügen.\",\"type\":\"image\",\"src\":\"\u002Fcontent\u002Fimg\u002Fbitsnbites\u002Fmail.png\"},{\"title\":\"Stored XSS & XXE-Kette\",\"tabLabel\":\"XSS & XXE\",\"description\":\"Der Fahrer-Händler-Chat blockiert exakte script-Tags, aber keine Varianten mit anderer Groß- und Kleinschreibung. Eine Stored-XSS-Payload stiehlt das Authentifizierungstoken des Händlers aus localStorage. Dieses Token ermöglicht anschließend den Zugriff auf das Händlerportal, wo eine XXE-Schwachstelle in der XML-Exportfunktion zu einem SSRF-Werkzeug wird, das das interne Finanzledger erreicht.\",\"type\":\"image\",\"src\":\"\u002Fcontent\u002Fimg\u002Fbitsnbites\u002Fxxe-injection.svg\"},{\"title\":\"IDOR & kryptografische Fehler\",\"tabLabel\":\"IDOR & Crypto\",\"description\":\"Eine einzige geänderte ID im MFA-Settings-Endpunkt reicht aus, um das TOTP-Secret eines anderen Nutzers zu lesen. Anschließend wird ein hartcodierter AES-Schlüssel im clientseitigen JavaScript genutzt, um die E-Mail des Fahrers aus Bestellbelegen zu entschlüsseln. Uber verlor 2016 durch fehlerhafte Zugriffskontrollen wie diese 57 Millionen Datensätze.\",\"type\":\"image\",\"src\":\"\u002Fcontent\u002Fimg\u002Fbitsnbites\u002Fsettings.png\"}]","[\"13 Challenges\",\"5 Phasen\",\"8+ Schwachstellentypen\"]","Verkette reale Schwachstellen über fünf Phasen hinweg, von Equifax-ähnlicher Datenaufklärung bis zu einer vollständigen XXE-zu-SSRF-Exfiltrationskette. Jede Technik lässt sich einem dokumentierten Sicherheitsvorfall zuordnen.","Challenges","Mobile Anwendungen können dieselben Schwachstellen haben",[41,42,43,50,56,62,68],"attack-chain",{},[44,45,47],"attack-step",{"label":46},"Account-Recon",[16,48,49],{},"Ein geleakter Equifax-ähnlicher Datensatz in Azure Table Storage wird mit OData-Filtern abgefragt. Die gefundenen Daten werden anschließend gegen das Login-Formular der Plattform getestet.",[44,51,53],{"label":52},"Infiltration",[16,54,55],{},"Ein Konto wird erstellt, die Profil-API untersucht und versteckte Einstellungen werden identifiziert.",[44,57,59],{"label":58},"Account-Übernahme",[16,60,61],{},"Konfigurationen werden über Mass-Assignment-Schwachstellen übernommen, Authentifizierungscodes auf ein kontrolliertes Konto umgeleitet und so die vollständige Kontrolle über das Konto einer verdächtigen Person hergestellt.",[44,63,65],{"label":64},"Laterale Bewegung",[16,66,67],{},"Durch die Verkettung von SQL Injection erfolgt der Wechsel vom Kunden zum Fahrer. IDOR legt dessen TOTP-Secret offen, AES-Entschlüsselung identifizierende Informationen über den Fahrer. Anschließend werden TOTP-Codes erzeugt und das Passwort zurückgesetzt.",[44,69,71],{"label":70},"Exfiltration",[16,72,73],{},"Eine XXE-Schwachstelle in der XML-Exportfunktion des Händlers wird genutzt, um Server-Side Request Forgery gegen das interne Ledger auszulösen.",[75,76,77,94,102,110,124,135],"owasp-panel",{},[78,79,81],"owasp-item",{"number":80},"A01",[82,83,84,88,91],"ul",{},[85,86,87],"li",{},"Insecure Direct Object References ermöglichen Zugriff auf MFA-Einstellungen anderer Nutzer.",[85,89,90],{},"Missbrauche Mass-Assignment-Schwachstellen, um Account-Ownership-Felder zu überschreiben, die die API nie hätte offenlegen sollen.",[85,92,93],{},"Server-Side Request Forgery über XML External Entity Injection ermöglicht den Zugriff auf interne Dienste.",[78,95,97],{"number":96},"A02",[82,98,99],{},[85,100,101],{},"Stelle vermeintlich gelöschte Nachrichten aus dem browserseitigen localStorage wieder her, den die Plattform nicht geleert hat, und finde so den Namen der Bank hinter der Geldwäscheoperation.",[78,103,105],{"number":104},"A04",[82,106,107],{},[85,108,109],{},"Stelle hartcodierte Verschlüsselungsschlüssel aus clientseitigem JavaScript wieder her und nutze sie, um geschützte Fahrer-Metadaten zu entschlüsseln.",[78,111,113],{"number":112},"A05",[82,114,115,118,121],{},[85,116,117],{},"Führe Boolean-basierte Blind-SQL-Injection gegen den Restaurant-Suchendpunkt aus. Ergebnisse erscheinen oder verschwinden abhängig von injizierten Bedingungen und leaken Daten, die die UI verbergen sollte.",[85,119,120],{},"Umgehe schwache Sanitizing-Filter mit Payloads in anderer Groß- und Kleinschreibung, um Stored XSS über den Fahrer-Händler-Chat auszuliefern und Authentifizierungstokens in Echtzeit zu stehlen.",[85,122,123],{},"XXE-Payloads verwandeln eine XML-Exportfunktion in ein Gateway zu internen Finanzledgern.",[78,125,127],{"number":126},"A07",[82,128,129,132],{},[85,130,131],{},"Gültige Konten werden enumeriert, indem unterschiedliche Reaktionen des Login-Flows auf registrierte und nicht registrierte Nutzer beobachtet werden.",[85,133,134],{},"MFA-Abläufe werden übernommen, indem Second-Factor-Challenges auf ein vom Angreifer kontrolliertes Konto umgeleitet und die abgefangenen Codes anschließend zum Zurücksetzen des Zielpassworts genutzt werden.",[78,136,138],{"number":137},"A08",[82,139,140],{},[85,141,142],{},"Ein generischer Update-Endpunkt hängt gepostete Objekte blind an, ohne Ownership zu prüfen, und ermöglicht dadurch eine vollständige MFA-Übernahme mit einer einzigen präparierten Anfrage.",{"title":144,"searchDepth":145,"depth":145,"links":146},"",2,[147,148],{"id":13,"depth":145,"text":14},{"id":21,"depth":145,"text":22},null,"md","Bits n Bites führt Teilnehmende in die Bits-n-Bites-Plattform: eine elegante Liefer-App, die Sine Nomine für eine Geldwäschefront hält. Die Tarnung ist ein normales Kundenkonto. Die Mission: das Finanznetzwerk von innen kartieren. Dafür werden Broken-Access-Control-Schwachstellen durchbrochen, injizierbare Endpunkte ausgenutzt, Authentifizierungsabläufe umgangen und Transaktionsmuster nachverfolgt, die keine legitime Liefer-App jemals erzeugen sollte.",{},"Operation Bits n Bites",true,"\u002Fde\u002Ftracks\u002Fbits-n-bites",{"title":5,"description":144},"de\u002Ftracks\u002Fbits-n-bites","Eine laufende Geldwäscheoperation, versteckt in einer Liefer-App: Teilnehmende steigen systematisch in den Rängen auf und decken auf, wer hinter den verdächtigen Restaurants steht.","jfJZjnrgTQuO17EOf8HaUNIgs8iSh6q9GTsX59NwNU4",1781079220799]