Comments 27
Насколько популярен данный «интернет-магазин»? Возможно «веб-мастер» техник, обслуживающий его даже не осознал наличия потенциального доступа к базе данных по средствам SQL-инъекции?
У меня сложилось определённое впечатление о том, кто является автором сайта. Тем не менее письма я отправлял представителям интернет-магазина, т.к. им лучше знать кто в данный момент занимается его поддержкой. Вполне возможно, что оригинальный автор сайта вовсе и не допускал эксплуатируемой в статье ошибки. Так как работники самого магазина могли что-то подредактировать или пригласить подправить сына-студента коллеги из другого отдела за 1000 рублей, например. Поэтому найденный емейл автора не был использован для связи и опубликован в статье.
А свою штуку то вы в итоге собрали? Самое интересное пропустили.
Ваше последнее письмо, отправленное 13 дней назад — ну оооочень понятное и информативное! Получив его, сотрудники сразу же всё поняли и бросились исправлять ту самую JS-закладку, и менять править код на сервере, ведь: «вы же понимаете»!
Они сделали заплатку на стороне клиента. Это говорит, о том, что это делал некомпетентный человек. По вашему он понимает, что он сделал не так?
Где же ваше понимание к компании и почему тогда обращаетесь к другим со словами «вы же понимаете»?
Они сделали заплатку на стороне клиента. Это говорит, о том, что это делал некомпетентный человек. По вашему он понимает, что он сделал не так?
Где же ваше понимание к компании и почему тогда обращаетесь к другим со словами «вы же понимаете»?
Получив его, сотрудники сразу же всё поняли
В статью я не включал цитируемую в письмах переписку, кроме того, тема письма не менялась. Так что да, получатель должен был понять, о чём речь. В случае, если бы у него не получилось, всегда можно ответить и переспросить, например, «Что Вы имели в виду?».
По вашему он понимает, что он сделал не так?
Хорошей традицией на мой взгляд являет следующий алгоритм:
1. Сообщить об уязвимости
2. Получить подтверждение и, как минимум, «Спасибо, исправим»
3. Получить сообщение о том, что всё исправлено и предложение проверить, действительно ли это так с моей точки зрения
4. Если не всё ещё исправлено, то вернуться на шаг 1, иначе сообщить о том, что всё исправлено
5. (необязательно) Опубликовать замечательную историю
В данном случае всё оборвалось после шага 2. Проще говоря, они мне не платят за мои действия и не предлагают этого, поэтому показывать в какой строчке кода что на что необходимо поправить, почему и зачем смысла не вижу (может быть, со мной вовсе и не программист общается). Более того, данная ошибка может встречаться ещё в массе мест по всему сайту (в самописных модулях). Мало исправить проблему только в одном месте.
Раз решили помочь сайту и указать на их ошибки — так зачем строить из себя «важного человека», чтобы с вас выуживали инфу?
Хотите помочь — помогите.
Не хотите помогать — ваше дело, никто ведь не заставляет, вы правы.
Просто ваше отношение к менеджерам «вы дураки, разве не понимаете, что закладка у вас дырявая?» — ну ровным счетом ничего не делает.
Получив такое письмо, пусть даже с приложенной перепиской, пусть даже если менеджеру это интересно — он спросит у того самого студента: «ты всё сделал?» — «да, я всё исправил!» и подумает, что ваше коротенькое письмо не несет в себе никакого смысла, а выуживать инфу они не любят, это да, сами дураки.
Но раз решили помочь — так помогайте, а не бросайте где-то на полпути. Ожидал увидеть в конце статьи законченный happy-end, а не так, что 90% сделали и забили, потому-что вас не облизывают и не просят раскрыть все карты…
Но всё-же сайт немного пытается исправиться — смотрите, закладку хоть дырявую сделал — и то хорошо. Осталось чуть-чуть надавить и всё станет красиво. Помогите уж им!
Хотите помочь — помогите.
Не хотите помогать — ваше дело, никто ведь не заставляет, вы правы.
Просто ваше отношение к менеджерам «вы дураки, разве не понимаете, что закладка у вас дырявая?» — ну ровным счетом ничего не делает.
Получив такое письмо, пусть даже с приложенной перепиской, пусть даже если менеджеру это интересно — он спросит у того самого студента: «ты всё сделал?» — «да, я всё исправил!» и подумает, что ваше коротенькое письмо не несет в себе никакого смысла, а выуживать инфу они не любят, это да, сами дураки.
Но раз решили помочь — так помогайте, а не бросайте где-то на полпути. Ожидал увидеть в конце статьи законченный happy-end, а не так, что 90% сделали и забили, потому-что вас не облизывают и не просят раскрыть все карты…
Но всё-же сайт немного пытается исправиться — смотрите, закладку хоть дырявую сделал — и то хорошо. Осталось чуть-чуть надавить и всё станет красиво. Помогите уж им!
Я согласен, что люди будут делать то, что правильно, только когда легче это сделать, чем не сделать. Возможно, стоило посылать по письму раз день, чтобы достучаться до них. Возможно даже, показать, что через эту уязвимость легко организовать DoS атаку, например, выведя из строя их сайт, принудив к перезагрузке сервера. Или даже подменить главную страницу на краткую информацию о том, что сайт небезопасен с приведением аргументированного описания того, почему и как это исправить, а заодно разместить ссылку на портфолио автора этого сайта, чтобы все желающие могли протестировать и другие его сайты на всякий случай.
Но это не было целью. Целью было исследовать уязвимость ради собственного интереса. Результат достижения цели — данная статья. Пусть другой в подобной ситуации будет героем-одиночкой и альтруистом-принудителем в одном лице. Я всего лишь удовлетворил свой интерес в свободное время. Возможность быть скотом по отношению к зашивающимся, судя по проблемам с комплектацией, работникам оставлю другим.
Но это не было целью. Целью было исследовать уязвимость ради собственного интереса. Результат достижения цели — данная статья. Пусть другой в подобной ситуации будет героем-одиночкой и альтруистом-принудителем в одном лице. Я всего лишь удовлетворил свой интерес в свободное время. Возможность быть скотом по отношению к зашивающимся, судя по проблемам с комплектацией, работникам оставлю другим.
ОК, просто в статье вы часто призываете к морали и добрым поступкам, а в конце всё бросаете…
Что ж, и цель стала ясна только сейчас — спортивный интерес…
Скажите тогда хотя бы название магазина в личку, побуду тем одиночкой-альтруистом, который поможет.
Что ж, и цель стала ясна только сейчас — спортивный интерес…
Скажите тогда хотя бы название магазина в личку, побуду тем одиночкой-альтруистом, который поможет.
Не надо лукавить, Вы совершили преступление, за который предусмотрен тюремный срок, а спустя всего 2 недели написали эту банальную заметку про тривиальную эксплуатацию уязвимости.
Простите, а где лукавство?
Про спортивный интерес.
Вы слили базу с логинами и паролями пользователей интернет-магазина, после чего описали процесс взлома (не представляющий ничего технически нового) в публичном пространстве для самопиара, не дождавшись исправлений, а теперь говорите про спортивный интерес.
«Прокурору расскажете».
Вы слили базу с логинами и паролями пользователей интернет-магазина, после чего описали процесс взлома (не представляющий ничего технически нового) в публичном пространстве для самопиара, не дождавшись исправлений, а теперь говорите про спортивный интерес.
«Прокурору расскажете».
Я понял, для Вас «спортивный интерес» — это нечто другое (конкурсы, призы за первые места и т.п.). Зовите прокурора.
Нет, «спортивный интерес» — это решение сложной задачи, например, но не в лоб слить базу шопа и рассказывать всем об этом на хабре.
В общем, мне нечего больше добавить. Понятное дело, что даже суд по этому поводу вряд ли будет, но это не отменяет того, что это незаконно, не этично и не ново.
В общем, мне нечего больше добавить. Понятное дело, что даже суд по этому поводу вряд ли будет, но это не отменяет того, что это незаконно, не этично и не ново.
Так уж получилось, что я не участвую в конкурсах, поэтому эксплуатация уязвимости в форме обратной связи стала для меня сложной задачей (получить возможность вывести любую информацию из БД через щёлку в 32 байта, максимально исследовать все возможности). Конечно, на сайте даже не было CSRF-защиты и уязвимость не была «слепой». Тем не менее, судя по текущему рейтингу статьи, кому-то она нравится. Значит, тут только Вы один занимали первое место на ZeroNights и как минимум 40 человек посчитали, что материал был им интересен. У каждого своя весовая категория.
Должно быть, я что-то упустил, но совершенно не могу понять, почему Вы считаете это неэтичным?
это незаконно, не этично и не ново.
Должно быть, я что-то упустил, но совершенно не могу понять, почему Вы считаете это неэтичным?
Почему Вам хочется довести это дело до суда?
Да не хочется мне ничего доводить =) Я говорю о том, что это незаконно, и стоило подождать исправления подольше, если уж взялись помогать. Если б тесты проводились локально на своём стенде, то это был бы просто баян (кому-то интересный, тем не менее), а так это бравирование незаконным сливом БД интернет-магазина.
Не хочу затягивать дискуссию, просто регулярно вижу на хабре хекеров, которые включили акунетикс или сунули кавычки, взломали какой-нибудь сайт/магазин/банк и спешат всем рассказать об этом, смакуя каждый шаг, хотя все эти техники и так по 100 раз описаны в куче источников, т.е. суть не в новизне материала, а в том, что взломан какой-то сайт.
При этом обычно в плохом свете выставляются владельцы сайта, которые хекеру почему-то чем-то обязаны, хотя он нарушил закон =)
Не хочу затягивать дискуссию, просто регулярно вижу на хабре хекеров, которые включили акунетикс или сунули кавычки, взломали какой-нибудь сайт/магазин/банк и спешат всем рассказать об этом, смакуя каждый шаг, хотя все эти техники и так по 100 раз описаны в куче источников, т.е. суть не в новизне материала, а в том, что взломан какой-то сайт.
При этом обычно в плохом свете выставляются владельцы сайта, которые хекеру почему-то чем-то обязаны, хотя он нарушил закон =)
хотя все эти техники и так по 100 раз описаны в куче источниковЛично я перед написанием статьи нашёл всего парочку достойных материалов про SQL INSERT/DELETE/UPDATE injection. На один из них дал ссылку в начале.
стоило подождать исправления подольше, если уж взялись помогатьВам удалось установить соответствие между интернет-магазином и статьёй?
Адрес интернет-магазина я нашёл за минуту (инъекцию проверил, она там всё ещё присутствует).
Вот теперь бравируете Вы. Значит (по Вашей логике), ведёте себя неэтично, т.к. ставите под угрозу раскрытие адреса интернет-магазина — сейчас каждый захочет решить эту загадку.
Вы задали вопрос — я ответил. А Вы, выходит, оставили косвенные ссылки на сайт, хотя владельцам обещали не делать этого. Причём разрешения не дождались.
Я предложил обсудить условия публикации данной статьи и ожидал получить в ответ что-то вроде «лучше без этого/подождите месяц, пока программист из отпуска выйдет/при условии предпросмотра материала/публикуйте, мы не против/я должна узнать у начальства», но не увидел никакого ответа в течении почти 2-х недель. Всё равно, что подойти к прилавку и сказать: «Я куплю это за 100 руб.», но не получив ни слова в ответ, уйти в следующий магазин и купить за другую цену, а потом получить от прохожего замечание:
— Обещал же в первом магазине купить за 100 руб., а сам… Неэтично, молодой человек!
— Обещал же в первом магазине купить за 100 руб., а сам… Неэтично, молодой человек!
Да, получение несанкционированного доступа. Да, в какой-то степени бравирование. Да, не дождался второго пришествия и убрал всяческие упоминания магазина из статьи. Так что же неэтичного?
Может быть, слил 2 БД в торренты и раздал? — Нет.
Подобрал пароли и задефейсил сайт? — Нет.
Использовал полуцензурные выражения в адрес авторов и владельцев сайта? — Тоже нет.
Продал информацию кому-то? — Уверяю Вас, тоже нет.
Может быть, слил 2 БД в торренты и раздал? — Нет.
Подобрал пароли и задефейсил сайт? — Нет.
Использовал полуцензурные выражения в адрес авторов и владельцев сайта? — Тоже нет.
Продал информацию кому-то? — Уверяю Вас, тоже нет.
Вы оба в целом правы, только вот у вас в сообщении какой-то стиль предвзятый: «строить из себя важного человека», «вы дураки», «сами дураки» — вы, часом лишку не приписываете автору?
Познать мат. часть — это клево. А вообще удобнее подобные вещи раскручивать конечно же через sqlmap.
Очень сложно общаться с авторами программных продуктов, для них путь не очевидный,
как это случилось и как это правильно починить/
как это случилось и как это правильно починить/
Sign up to leave a comment.
SQL Insert Injection в одном интернет магазине