Solidus — Огляд коду
<p><a href="https://www.tenable.com/research">Як дослідник в Tenable</a>, ми маємо кілька періодів протягом року, коли можна працювати над темою на свій вибір, за умови, що це представляє інтерес для команди. Особисто я вирішив провести огляд коду на проекті Ruby on Rails.</p>
<p>Основна мета — зосередитись на перевірці коду, його розумінні та взаємодії між компонентами.</p>
<p>Я обрав <a href="https://github.com/solidusio/solidus">Solidus</a>, який є відкритим фреймворком для електронної комерції для піонерів галузі. Спочатку цей проект був форком <a href="https://spreecommerce.org/">Spree</a>.</p>
<p>Розроблений на основі <a href="https://rubyonrails.org/">Ruby on Rails</a>, Solidus складається з кількох гемів. Коли ви підключаєте гем solidus у вашому Gemfile, Bundler встановить всі наступні геми:</p>
<ul>
<li><strong>solidus_api</strong> (RESTful API)</li>
<li><strong>solidus_backend</strong> (Адмін-панель)</li>
<li><strong>solidus_core</strong> (Основні моделі, поштові системи та класи)</li>
<li><strong>solidus_sample</strong> (Приклад даних)</li>
</ul>
<p>Всі ці геми створені для того, щоб працювати разом, надаючи повноцінну платформу для електронної комерції.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/7d2f5d004d0_i8FqnnSpOhzb_ATo"/></p>
<p><em>https://www.tenable.com/research</em></p>
<h2>Вибір проекту</h2>
<p>Solidus не був моїм першим вибором, я спочатку хотів вибрати <a href="https://github.com/zammad/zammad">Zammad</a>, який є веб-системою підтримки клієнтів з відкритим кодом, також розробленою на Ruby on Rails.</p>
<p>Проект досить популярний, і, після швидкого огляду, має хороший потенціал для атак. Цей тип проектів також цікавий, бо для багатьох бізнесів компонент підтримки/тестування критичний, тому виявлення вразливості в проекті на кшталт Zammad майже гарантовано забезпечить цікаву вразливість!</p>
<p>З різних причин, чи то на моєму професійному, чи то на особистому ноутбуці, мені потрібно запускати проект у Docker, що сьогодні досить поширено для веб-проектів, але:</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/26d459b7750_Ns5cuW1MTPzc8RuH"/></p>
<p>Zammad — це проект, що потребує багатьох компонентів, таких як Elasticsearch, Memcached, PostgresQL і Redis. І хоча проект надає готовий docker-compose, як тільки я спробував використовувати його в режимі розробки, проект не ініціалізувався належним чином.</p>
<p>Замість того, щоб витрачати занадто багато часу, я вирішив відкласти його на потім (безсумнівно) і вибрати інший проект, який здався простішим для старту.</p>
<p>Переглядаючи Github, я натрапив на <a href="https://github.com/solidusio/solidus">Solidus</a>, який не тільки пропонує інструкції для налаштування середовища розробки всього в кількох рядках, але й має <a href="https://github.com/solidusio/solidus/security">деякі публічні вразливості</a>.</p>
<p>Для нас це загалом хороший знак з точки зору комунікації у разі виявлення проблем. Це показує, що видавець готовий до обміну, що, на жаль, не завжди так.</p>
<p><em>Насправді, я також мав кілька проблем з Dockerfile для Solidus, але переглянувши</em> <a href="https://github.com/solidusio/solidus/issues/5523"><em>issues</em></a> <em>та зробивши деякі модифікації самостійно, я зміг швидко запустити проект.</em></p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/1602bafc790_fGZcRMCQZi1TRVev"/></p>
<p><em>Проект запустився за допомогою команди bin/dev</em></p>
<h2>Архітектура Ruby on Rails та поверхня для атак</h2>
<p>Як і багато веб-фреймворків, Ruby on Rails використовує архітектуру MVC, хоча це не є темою цього блогу, короткий нагадування не завадить, щоб ви краще зрозуміли решту:</p>
<ul>
<li><strong>Модель</strong> містить дані та логіку, що стосується цих даних (перевірка, реєстрація тощо)</li>
<li><strong>Представлення</strong> показує результат користувачу</li>
<li><strong>Контролер</strong> обробляє дії користувача та змінює дані моделі і представлення<br/>
Це є зв’язок між моделлю та представленням.</li>
</ul>
<p>Ще один важливий аспект Ruby on Rails — це те, що цей фреймворк керується принципом “<em>Конвенція понад конфігурацію</em>”, що означає, що багато рішень прийнято за вас, і що всі середовища будуть мати схожості, що полегшує розуміння проекту з точки зору атакувальника, якщо ви знаєте, як працює фреймворк.</p>
<p>У проекті Ruby on Rails маршрутизація застосунку керується безпосередньо файлом ‘config/routes.rb’. У цьому файлі визначено всі можливі дії!</p>
<p>Як було пояснено в розділі огляду, Solidus складається з набору гемів (Core, Backend та API), розроблених для того, щоб працювати разом і забезпечити повноцінну платформу для електронної комерції.</p>
<p>Ці три компоненти незалежні один від одного, тому коли ми перевіряємо проект Github Solidus/Solidus, ми фактично перевіряємо кілька проектів з різними поверхнями атак, які більш чи менш взаємопов’язані.</p>
<p>Solidus має три основних файли маршрутів:</p>
<ul>
<li><strong>Admin</strong> Простір імен <strong>SolidusAdmin::Engine</strong></li>
<li><strong>Backend</strong> Простір імен <strong>Spree::Core::Engine</strong></li>
<li><strong>API</strong> Простір імен <strong>Spree::Core::Engine</strong></li>
</ul>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/4329f5696e0_G3CQJAokzidUG77X"/></p>
<p>Два з трьох файлів знаходяться в одному просторі імен, тоді як Admin є більш відокремленим.</p>
<p>Простір імен можна розглядати як “групу”, що містить класи, константи чи інші модулі. Це дозволяє структурувати ваш проект. Тут важливо розуміти, що API та Backend безпосередньо пов’язані, але не можуть взаємодіяти безпосередньо з Admin.</p>
<p>Якщо ми уважніше подивимось на файл, то побачимо, що маршрути визначені кількома способами. Не вдаючись у всі деталі та нюанси, ви можете визначити маршрут безпосередньо, наприклад:</p>
<pre><code>get '/orders/mine', to: 'orders#mine', as: 'my_orders'
</code></pre>
<p>Це означає “Запит GET на /orders/mine” буде надіслано до методу “mine” контролера “Orders” (ми не будемо звертати увагу на “as: ‘my_orders’” тут).</p>
<pre><code>module Spree
module Api
class OrdersController < Spree::Api::BaseController
#[...]
def mine
if current_api_user
@orders = current_api_user.orders.by_store(current_store).reverse_chronological.ransack(params[:q]).result
@orders = paginate(@orders)
else
render "spree/api/errors/unauthorized", status: :unauthorized
end
end
#[...]
</code></pre>
<p>Або через систему CRUD, використовуючи щось на кшталт:</p>
<pre><code>resources :customer_returns, except: :destroy
</code></pre>
<p>Для пояснень я перейду безпосередньо до того, що пояснюється в <a href="https://guides.rubyonrails.org/routing.html#crud-verbs-and-actions">документації Ruby on Rails</a>:</p>
<p><em>“У Rails ресурсний маршрут забезпечує відповідність між HTTP дієсловами та URL для дій контролера. За умовчанням кожна дія також відповідає конкретній операції CRUD в базі даних.”</em></p>
<p>Отже, тут ресурс :customer_returns буде зв’язаний з контролером CustomerReturns для таких URL:</p>
<ul>
<li>GET /customer_returns</li>
<li>GET /customer_returns/new</li>
<li>POST /customer_returns</li>
<li>GET /customer_returns/:id</li>
<li>GET /customer_returns/:id/edit</li>
<li>PATCH/PUT /customer_returns/:id</li>
<li>̶D̶E̶L̶E̶T̶E̶ ̶/̶c̶u̶s̶t̶o̶m̶e̶r̶_̶r̶e̶t̶u̶r̶n̶s̶/̶:̶i̶d̶ ігнорується через “except: :destroy”</li>
</ul>
<p>Отже, з цього можна легко побачити, що Solidus має значну поверхню для атак.</p>
<h2>Статичний аналіз коду</h2>
<p>Цей проект також дає мені можливість протестувати різні інструменти для статичного аналізу коду.<br/>
Я не очікую багато від цих інструментів, але оскільки я не використовую їх регулярно, це дозволяє мені побачити, що нового і що розвивається.</p>
<p>Перевага відкритого проекту на Github полягає в тому, що багато інструментів для статичного аналізу можна запустити через Github Action, принаймні… теоретично.</p>
<p>Не рахуючи всіх перевірених інструментів, CodeQL — єдиний, який я зміг запустити “з коробки” через Github Action, результати потім безпосередньо видні у вкладці Security.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/a99d4dd7f20_7WLG7fjAtZk4uoIo"/></p>
<p><em>Витяг з вразливостей, виявлених за допомогою CodeQL</em></p>
<p>Обробка результатів від усіх інструментів займає багато часу, багато з них є зайвими, і я також спостерігав, що деякі платні інструменти насправді є лише обгортками відкритих інструментів, таких як Semgrep (результати точно такі ж / ті ж самі фрази).</p>
<p>Особливе згадування заслуговує <a href="https://brakemanscanner.org/">Brakeman</a>, інструмент, присвячений аналізу коду Ruby on Rails. Цей інструмент дозволяє швидко і просто знайти деякі цікаві шляхи для дослідження у зручному вигляді.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/517dfc3c470_D6jojsGQAUQIE1qF"/></p>
<p><em>Витяг з вразливостей, виявлених за допомогою Brakeman</em></p>
<p>Не розглядаючи всі відкриття, які я відкинув (шляхи для дослідження). Деякі вразливості легко виключити. Наприклад, виявлення “Поліноміальний регулярний вираз, використаний на неконтрольованих даних” від CodeQL:</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/42f2facdc50_i6TO2ZMDY0xZkpg9"/></p>
<p>Окрім того, що це здається неексплуатованим для мене, цей випадок не є дуже цікавим, оскільки він стосується адміністративної частини, і для його використання потрібні підвищені привілеї.</p>
<p>Тепер розглянемо цей приклад “SQL Injection” від Brakeman:</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/a6afa077f60_JNF6ZwqMqCY_5bPt"/></p>
<p>Оскільки аналіз позбавлений контексту, він не знає, що насправді “price<em>table</em>name” не відповідає введенню користувача, а є викликом методу, який повертає назву таблиці (яка, отже, не піддається контролю з боку користувача).</p>
<p>Проте ці інструменти залишаються цікавими, оскільки вони можуть надати швидкий огляд областей для подальшого дослідження.</p>
<h2>Ідентифікація сайту на Solidus</h2>
<p>Перед тим як зануритися в деталі теми, може бути цікаво визначити, чи використовує відвіданий сайт Solidus, і для цього існує кілька методів.</p>
<p>На головній сторінці магазину можна шукати такі патерни:</p>
<pre><code>Powered by Solidus
/assets/spree/frontend/solidus_starter_frontend
</code></pre>
<p>Або перевірити, чи доступні такі функції JS:</p>
<pre><code>Solidus()
SolidusPaypalBraintree
</code></pre>
<p>Або, врешті-решт, відвідати адміністративну панель, доступну за адресою ‘/admin/login’, і шукати один з наступних патернів:</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/30b5f989510_ynR9rblX5RW8MwAb"/></p>
<p>Після того як замовлення зроблено, дії користувача досить обмежені</p>
<ul>
<li>Переглянути свої замовлення</li>
<li>Переглянути конкретне замовлення (але без PDF або відстеження)</li>
<li>Оновити свою інформацію (тільки email і пароль)</li>
</ul>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/3e25cbb88c1_lebfVb2hVW7tJQTHVQm5gA_png"/></p>
<p>Додамо, що коли замовлення оформлено, користувачеві надсилається email, а новий email відправляється, коли продукт відправлено.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/86497b435c1_fBKW7bBE2EMT3zjKFx0W_A_png"/></p>
<p>Адміністративна панель також досить обмежена, окрім класичних функцій інтернет-магазину (управління замовленнями, продуктами, запасами тощо), є лише невелика кількість налаштувань, які можна зробити безпосередньо з панелі.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/cc22197f650_bgYMdTe_o9clx2_u"/></p>
<p>Наприклад, неможливо налаштувати SMTP, це налаштування потрібно робити безпосередньо в конфігурації Rails проекту.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/670421214e0_eeIZWgFJ1nD5FlOu"/></p>
<h2>Аутентифікація та управління сесіями</h2>
<p>Аутентифікація є важливим аспектом безпеки веб-додатків. Вона гарантує, що лише авторизовані особи мають доступ до функцій додатку та чутливої інформації.</p>
<p>Devise — це популярний, високонастроюваний та надійний Ruby on Rails gem для аутентифікації користувачів. Цей gem забезпечує повне рішення для управління аутентифікацією, включаючи створення акаунтів, вхід, вихід та скидання паролю.</p>
<p>Однією з причин, чому Devise вважається надійним рішенням, є його здатність підтримувати розширені функції безпеки, такі як перевірка email, двофакторна аутентифікація та управління сесіями. Крім того, Devise регулярно оновлюється для виправлення вразливостей безпеки та покращення своїх функцій.</p>
<p>Коли я налаштовував свій проект Solidus, була використана версія 4.9.3 Devise, тобто остання доступна версія, тому я не витратив багато часу на цю частину, яка одразу здавалася мені тупиковою.</p>
<h2>Авторизація та управління дозволами</h2>
<p>Авторизація та управління дозволами — ще один критично важливий аспект безпеки веб-додатків. Вона гарантує, що користувачі мають доступ лише до тих функцій та даних, до яких їм дозволено доступати на основі їх ролі чи дозволів.</p>
<p>За замовчуванням, Solidus має лише дві визначені ролі:</p>
<ul>
<li><strong>SuperUser</strong>: Тобто адміністратор, який має доступ до всіх функцій</li>
<li><strong>DefaultCustomer</strong>: Роль, яка за замовчуванням присвоюється під час реєстрації, базова роль, яка просто дозволяє робити покупки на сайті</li>
</ul>
<p>Для управління цією частиною, Solidus використовує gem під назвою <a href="https://github.com/CanCanCommunity/cancancan">CanCanCan</a>. Як і Devise, CanCanCan вважається надійним рішенням завдяки здатності підтримувати складні сценарії авторизації, такі як ієрархічні ролі та динамічні дозволи. Крім того, CanCanCan дуже настроюється.</p>
<p>Також, CanCanCan добре протестований та надійний, що робить його безпечним вибором для критичних застосунків.<br/>
Він також має активну спільноту розробників, які можуть надати допомогу та поради, якщо це необхідно.</p>
<h2>Декілька цікавих тем</h2>
<p><strong>1/ Не дуже цікаве міжсайтове скриптування (Cross-Site Scripting)</strong></p>
<p>Знаходити вразливості — це цікаво, особливо якщо вони критичні, але багато статей не пояснюють, що пошук займає багато часу, і багато спроб не призводять до результату.</p>
<p>Розкопуючи ці вразливості, навіть знаючи, що вони не приведуть до нічого, не завжди марно.</p>
<p>Візьмемо, наприклад, виявлення Brakeman:</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/7164066fac0_wgMgix95_ZOqnDT5"/></p>
<p>Незважаючи на наявність <code>:target => “_blank”</code>, що ускладнює використання XSS (або через божевільні комбінації, такі як колесо миші), мені було цікаво розібратися в цій частині коду і зрозуміти, як можна здійснити таку ін'єкцію, просто тому, що це стосується адміністративної частини.</p>
<p>Ось як можна було б експлуатувати цю вразливість:</p>
<p>1/ Адміністратор повинен змінити методи доставки, щоб додати <code>javascript:alert(document.domain)</code> як URL для відстеження.</p>
<p>2/ Користувач повинен оформити замовлення.</p>
<p>3/ Адміністратор повинен підтвердити замовлення та додати номер для відстеження.</p>
<p>4/ URL для відстеження буде відповідати payload, який можна буде активувати через колесо миші.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/497976144c0_Hp3ggZq5itg8QJHT"/></p>
<p>За замовчуванням, оскільки єдиною можливістю є роль адміністратора, єдина можливість — це коли один адміністратор заманює іншого адміністратора... іншими словами, це далеко не цікаво.</p>
<p><strong>Примітка:</strong> Згідно з <a href="https://guides.solidus.io/advanced-solidus/permission-management">документацією Solidus</a>, у налаштуванні, яке відрізняється від базового, користувач з меншими привілеями міг би експлуатувати цю вразливість.</p>
<p><em>Хоча вплив і експлуатація дуже низькі, ми вказали на цю вразливість для Solidus. Незважаючи на кілька спроб зв'язатися з ними, ми не отримали відповіді.<br/>
Вразливість була опублікована під</em> <a href="https://www.tenable.com/security/research/tra-2024-15"><em>CVE-2024–4859</em></a></p>
<p><strong>2/ Solidus, Машина станів (State Machine) та умови гонки (Race Conditions)</strong></p>
<p>У веб-магазині я вважаю, що тестування умов гонки — це корисна річ, оскільки певні функції підходять для такого тесту, наприклад, знижки.</p>
<p>Але перед тим, як говорити про умови гонки, потрібно зрозуміти концепцію Машини станів (State Machine).</p>
<p>Машина станів — це модель поведінки, що використовується в розробці програмного забезпечення для представлення різних станів, у яких може перебувати об'єкт або система, а також переходів між цими станами. У контексті веб-додатку, машина станів може використовуватися для моделювання різних станів, в яких може перебувати користувач або ресурс, а також дій, які можуть бути виконані для переходу між цими станами.</p>
<p>Наприклад, у Solidus користувачі можуть оформляти замовлення. Користувач може бути в одному з кількох станів щодо замовлення, таких як "очікує", "обробляється" або "відправлено". Машина станів визначатиме ці стани та переходи між ними, такі як "оформити замовлення" (що переходить з "очікує" в "обробляється"), "відмінити замовлення" (що повертає з "обробляється" в "очікує"), та "відправити замовлення" (що переходить з "обробляється" в "відправлено").</p>
<p>Використання машини станів у веб-додатку дає кілька переваг. По-перше, це допомагає забезпечити стабільність і передбачуваність роботи додатку, оскільки поведінка системи чітко визначена та контролюється. По-друге, це полегшує розуміння додатку та відлагодження проблем, оскільки стан системи можна легко перевірити та зрозуміти.<br/>
По-третє, це може допомогти спростити кодову базу, оскільки складну логіку можна інкапсулювати в машині станів (State Machine).</p>
<p>Якщо я говорю про це, то тому, що <a href="https://guides.solidus.io/advanced-solidus/state-machines/">документація Solidus має розділ, присвячений цьому</a>, і я вважаю, що це досить рідко виділяється!</p>
<p>Тепер ми можемо спробувати подивитися, чи є приховані умови гонки (Race Conditions) у використанні промо-коду.</p>
<p>Цей розділ коду все ще належить Spree (попереднику Solidus), тому я одразу не зміг до нього дістатися, але в разі whitebox-аудиту іноді легше відслідкувати код через помилку на сайті.</p>
<p>У цьому випадку, при дворазовому застосуванні того самого промо-коду, сайт виводить помилку “The coupon code has already been applied to this order”</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/4fafc6760c0_RkuZUHH2n40CH3ap"/></p>
<p>Тоді просто шукаємо цю помилку в усьому коді проекту і відслідковуємо її використання назад до методу, який перевіряє використання купона.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/24578727eb0_p5DItaV8W1sBftJY"/></p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/e9339e83490_UvSbkGbur0MVSo0N"/></p>
<p>Досить важко вникнути в деталі та пояснити всі перевірки, але можна підсумувати, що купон асоціюється з конкретним замовленням, і як тільки ми намагаємось застосувати новий купон, код перевіряє, чи вже асоційований він із замовленням чи ні.</p>
<p>Отже, підсумовуючи, цей код не виглядав вразливим до умов гонки (Race Conditions).</p>
<p>Представлення всіх проведених тестів було б нудним, але з цих рядків ми розуміємо, що основні будівельні блоки Solidus досить надійні, і на стандартній установці, на жаль, мені не вдалося знайти багато чого цікавого.</p>
<p>Тож, можливо, цікавіше зосередитись на кастомних розробках, зокрема на розширеннях. У Solidus можна організувати розширення за трьома типами:</p>
<ul>
<li><strong>Офіційні інтеграції:</strong> <a href="https://solidus.io/integrations">Перелічено на основному сайті</a>, здебільшого це розширення для обробки платежів</li>
<li><strong>Розширення від спільноти:</strong> Перелічено в окремому репозиторії на GitHub, це різноманітні розширення, які більш-менш підтримуються</li>
<li><strong>Інші розширення:</strong> Розширення, знайдені в інших місцях, але немає гарантії, що вони працюватимуть або будуть підтримуватись</li>
</ul>
<p>Майже всі офіційні розширення потребують інтеграції з третіми сторонами і тому робитимуть запити до сторонніх сервісів, чого я хотів уникнути тут.</p>
<p>Замість цього я звернувся до розширень від спільноти, щоб протестувати кілька розширень, для яких мені б хотілося мати рідну функціональність на сайті, наприклад, експорт рахунків у форматі PDF.</p>
<p>Для цього я знайшов плагін <a href="https://github.com/solidusio-contrib/solidus_print_invoice/">Solidus Print Invoice</a>, який не підтримується вже 2 роки. Можна було б подумати, що це хороший знак з точки зору атакувальника, але насправді цей плагін не призначений для роботи з Solidus 4, тому першим кроком було зробити його сумісним, щоб його можна було встановити...</p>
<p>Як вказано в документації, цей плагін додає лише генерацію PDF на стороні адміністратора.</p>
<p><img alt="pic" decoding="async" src="https://drive.javascript.org.ua/321e5d16260_QKaSuQikNquWSS6L"/></p>
<p>Довго не розповідаючи, цей плагін не дав мені нічого нового, і я витратив більше часу на його встановлення, ніж на розуміння того, що я не отримаю від нього жодних вразливостей.</p>
<p>Я ще не перевіряв це, але цікаво зазначити, що інші плагіни, такі як <a href="https://github.com/friendlycart/solidus_friendly_promotions">Solidus Friendly Promotions</a>, згідно з документацією, заміняють основні функції Solidus, і тому вони природно більш схильні до виникнення вразливостей.</p>
<h2>Висновок</h2>
<p>Представлення всіх тестів, які можуть бути проведені, також займає занадто багато часу.<br/>
Аналіз коду справді займає багато часу, тому стверджувати, що я повністю проаналізував всю програму, було б неправдою. Але, після кількох днів роботи з Solidus, я думаю, що це дуже цікава програма з точки зору безпеки.</p>
<p>Звісно, я б хотів детально описати кілька вразливостей, але цей блог-пост намагається показати, що не завжди можна отримати результат.</p>
<p>Перекладено з: <a href="https://medium.com/tenable-techblog/solidus-code-review-7e9b606a5c10">Solidus — Code Review</a></p>
