Fondy Aug 1 2017 at 11:53

Как я проник на сервер PayPal через баг в загрузке файлов и получил доступ к удаленному выполнению кода

4 min

25K

Fondy corporate blogInformation Security*Debugging*

Translation

+36

Comments 16

nicelight_nsk Aug 1 2017 at 13:37

Вкусная статья, спасибо.

speller Aug 1 2017 at 14:03

Много работаю с PayPal как разработчик. Совсем не удивлен таким багам. Общее моё мнение о качестве программирования в этой компании давно ниже плинтуса.

Dreyk Aug 1 2017 at 14:22

для меня подобное было неприятным удивлением. когда я был "молодым и наивным", я считал, что уж в банковской и финансовой сфере наверняка работают суперкрутые спецы

я_еще_никогда_так_не_ошибался.jpg

g0rd1as Aug 2 2017 at 14:00

ну, в этой сфере тоже люди работают. Люди, на которых давит начальство с его чертовыми дедлайнами и «да кто там копаться будет!?»

stranger777 Aug 2 2017 at 19:40

Давеча наблюдал в дистрибутиве банковской криптографии вот такое нечто, имя файла:

msvcr90(на случай если первая не подойдёт).dll

varnav Aug 2 2017 at 13:58

У пользователей мнение о качестве сервиса тоже не самое радужное.

Rathil Aug 1 2017 at 23:30

Когда-то подобным способом взломал сайт по продаже 3Д моделей. Не трогал ничего! Просто скачал себе все файлы и всю БД :)

s256 Aug 2 2017 at 14:00

Спасибо, Евгений, за вами уже выехали)

Rathil Aug 2 2017 at 14:23

Ничего страшного, я им отгружу пол кило 3Д моделей :)

sasholy Aug 4 2017 at 10:30

а можна Ваш мануал? спс.

Ruslan_aia Aug 2 2017 at 01:05

Интересно во сколько примерно оценивают PayPal подобный баг?
Уверен, что атаку с этого сервера можно было развивать далее.

quantum Aug 2 2017 at 11:07

Статья ок, но подача… Анимированные гифки через абзац, неужели я превратился в старпера и не понимаю нынешнего поколения?)

uploadfor Aug 2 2017 at 21:14

Тут два варианта: любой популярный ресурс рано или поздно настигает либо "Д — деградация", либо «Э — эволюция». Но вот что показательно: для второго варианта у меня примера нет, и никогда не было…

HAOSov Aug 2 2017 at 14:00

Интересно было бы узнать о сумме «награды» в конце.

vlad49 Aug 2 2017 at 14:00

Интересно, бывают ли компании и должности, где в качестве тестового задания нужно найти какой-нибудь платежный сервис или банк с дыркой, взломать и начислить себе денег например? :)

stranger777 Aug 2 2017 at 19:47

Лучший способ предсказать будущее — совершить его. Учредив компанию по аудиту банковской безопасности. :) именно там людей с таким опытом с мясом оторвут с предыдущей работы.