Pull to refresh

Comments 177

Если компания явно не указывает, что у нее есть программа вознаграждения за найденные уязвимости — туда с такими письмами лучше не соваться, в России тоже было не мало подобных случаев. Максимум — анонимное сообщение с почты не связанной с реальным человеком, а спустя некоторое время — анонимный постинг публично.

Ну и - традиционная картинка

В данном случае я бы ещё посоветовал не снижать цену с 9500 до 50.

… сам занялся подделкой только что купленного билета. На другом конце моего ножа для обрезки сигар находился перфоратор, с помощью которого я изменил пробитый на билете код места назначения.


Теперь я летел вместо XVIII на планету X, и на этом изменении курса потерял почти двести кредиток. В этом состоит суть моего метода. Никогда не увеличивайте стоимости билета слишком много шансов засыпаться. Если же вы уменьшите его стоимость, то даже если это будет замечено, все сочтут это ошибкой машины. Ни у кого не возникнет и тени подозрения, так как терять на подделке денег явная бессмыслица.


"Крыса из нержавеющей стали", Гарри Гаррисон

Сначала подумал, что вы ошиблись, потом я посмотрел перевод и там тоже «Если же вы уменьшите его стоимость, то даже если это будет замечено, все сочтут это ошибкой машины.», очевидно же, что Гарри Гаррисон имел ввиду совсем другое!
Скорее всего, имелось ввиду, что вы покупаете билет за 1000 кредиток, перфорируете его, превращая в билет за 800 кредиток. Его стоимость уменьшилась.
Да. Снизить стоимость билета ДО покупки как в статье или ПОСЛЕ покупки как у Гаррисона — две большие разницы :)
Ну, персонаж Гаррисона при получении материальной выгоды не разменивался на мелочи, если мне не изменяет память.

Отнють, в первой книге он конфеты воровал, а Слон его научил кое-каким хакерским премудростям как раз по части мелочей. А в более подних произведениях он не чурался спереть у начальства годных сигар.

А все проблемы начались, когда честно трудоустроился (см. приключения с налоговой)
The other end of my cigar cutter was a punch; with it I altered the keyed holes that indicated my destination. I was now going to planet X, not XVIII, and I had lost almost two hundred credits with the alteration. That's the secret of ticket and order changing. Don't raise the face value—there is too good a chance that this will be noticed. If you lower the value and lose money on the deal, even if it is caught, people will be sure it is a mistake on the machine's part. There is never the shadow of a doubt, since why should anyone change a ticket to lose money?
Да, просто подделки в статье и в романе у Гаррисона немного разные, в первом случае мы меняем сумму платежа за поездку, а во втором подделываем дорогой билет на другое направление, более дешевое.
9500 форинтов ~ 30 евро.
А он именно увеличил до 50 евро!

По тексту — он снизил до 50 форинтов (0,16 евро)

Если у компании нет программы вознаграждения, публичный постинг должен быть без всяких предупреждений.
Может и да, а может и нет. Нельзя забывать, что в первую очередь это коснется пользователей, они не виноваты, что программисты компании — криворучки.
Это уязвимость как пользователей коснется?
Повышением цены на проезд для компенсации убытков (не важно, кто тут виноват, бизнесу всё равно нужно держаться на плаву). И покупкой билетов за чужой счёт.
Цены на проезд всегда буду максимально возможными. Это же капитализм.
Странно вы на капитализм смотрите. Конкретно в Венгии Малев вам в пример с максимальными ценами на проезд на самолетах :)
А что с ним? Полагаю, у них такие цены, потому что они конкурентноспособны с ними. были бы монополистами, как сабж, установили бы цены больше
А умер он. Потому что пришел Виззаир :) В общем, я о том, что в капитализме вполне находятся те, кто вкладываются в крутую оптимизацию своих процессов, что позволяет им сильно снизить цены и захватить рынок, поскольку «динозавры» на такое не способны…
Вы абсолютно правы. Каждый получает максимальную прибыль как может. Если может оптимизировать техпроцессы — оптимизирует, что позволяет снизить цены, скажем на 50%, а снижает он их на 30%, 20% себе.

А если можно дать чиновнику откат, то зачем цены снижать?
Максимальный предел может повышаться. И подобные события увеличивают вероятность оного: кому-то приходится платить за халявщиков, а их может достаточно быстро стать много.
Если цена поднимется до определенного уровня народ начнет возмущаться
А за криво сделанный софт должны платить
1) Подрядчик
2) Заказчик (тот чиновник, который получил откат)
Угу, взяли и заплатили… Тут даже если и платить, это может делаться дооолго. А кредиторы денег хотят здесь и сейчас.
Ну причём тут программисты? Программисты там, я так понимаю, рядом не сидели. Если, конечно, мы под этим словом понимаем одно и то же.
А лучше — продать данные заинтересованным людям. А те уже проведя хороший скам доходчиво доведут до клиента необходимость прислушиваться к людям, желающим помочь.
>они просто не сделали редирект с http на https
Сразу вспоминается Сбербанк Онлайн (http://online.sberbank.ru/, https://online.sberbank.ru/), где это не сделано до сих пор. И прошло уже совсем не «несколько дней».
Первая ссылка (которая http) не открывается.
Об этом и идет речь, что там неплохо смотрелся бы редирект на https версию.
Согласен, но гораздо хуже бы смотрелось, если бы ссылка по http открывалась бы, как ни в чем не бывало.
редирект должен быть на https же
редирект, несомненно, был бы полезен, но вот с тем, что они чего-то «должны» — это вы явно перегнули
Не, ну давайте сделаем это повсеместно. Абсолютно уверен, вам такой расклад не понравится. В прочем, мы же говорим о сайте сбербанка, на котором, как известно, уязвимостей нет, что уж говорить о таких мелких недочётах…
А вы не в сбербанке работаете?
У сбера теперь везде ИИ, а ему надо время что бы настроить коэффициенты.
ИИ еще не дошел до мануалов к конфигу nginx

Скорее не nginx, а Microsoft IIS (заголовок Server: Microsoft-IIS/7.5). Эта версия, кстати, вышла в 2009. Д умаю, что в Microsoft еще не одну дыру в безопасности подлатали с новыми версиями за 8 лет.

латание дыр у мс не изменяет версии, это же не хром
Топовый пример, Вы сами то пробовали перейти по ссылкам которые предоставили? через http скрин сделайте и выложите пжлст

Недавно совершал оплату картой, процессинг осуществлял sberbank.ru и не обнаружил там https. Долго думал, фишинг или нет.

уже после ввода данных? Просто если "до", то лично я бы не стал там вводить данные карты...


// а если после, то таки точно пора уже грефу прямым текстом заявлять, что в своём глазу бревна не видит

Обнаружил до перевода и посчитал это очень подозрительным. Перевод не стал совершать и пошел внимательно сличать адрес с адресом сбера. www.sberbank.ru. Адрес был правильный, но подобные вещи от крупного банка просто непростительны.

сличение адреса не обеспечивает безопасность, отсутствие https позволяет провести атаку MITM, хотя адрес совпадёт, казалось бы! И наличие только https — тоже не безопасность.
Только точные адрес ПЛЮС https дают какую-то гарантию. Одно из двух — это как ворота без забора (или наоборот).
Странное что-то. Во всех случаях, когда оплачивал через сберовский процессинг, было HTTPS, адрес кажется https://securepayments.sberbank.ru
да, несмотря на уважение по другим достаточно хорошим достижениям, такие штуки удивляют. Ранее все наверное обращали какая была уродливая страница ввода кода с СМС, где даже не удосужились логотипу нормальную прозрачность сделать, но теперь нормально ) но сколько лет эта страничка была )
достаточно хорошим достижениям
электронная очередь что ли? )
Раньше в сбер было сходить очень не комфортно, сейчас бывает может и не идеально, но лучше чем в Альфа банк (в Самаре). Да электронная очередь — хорошая штука.
Где-то ещё хуже != тут хорошо.
Идеально не бывает, но все достаточно хорошо.
Скажу по секрету — в банк ходить не обязательно… Не знаю, зачем они строят себе офисы.
В бассейне, например, для достижения результата, нужно ваше личное присутствие, а все банковские операции успешно выполняются онлайн и с помощью бумажной почты.

На мой взгляд уж лучше десяток раз сходить в сбербанк лично чем один раз попытаться пообщаться с ним через нашу Почту.

с такими банками не надо общаться… или сразу бросать трубку, или слать нах.
Если самоуважение есть.

Выписка со счета от тинькова пришла в тот же день на email и еще спустя 3-4 дня в почтовый ящик бумажным письмом с печатями. В старинном банке получить справку — это написать заявление, подождать 2 недели и потом забирать в рабочее время в офисе, который хз где находится.
В нашем мире, чтобы получить что-то вещественное нужно, чтобы оно доехало до тебя или ты должен доехать до него. Я пользуюсь пластиковыми картами, представь и даже наличными иногда, скажу тебе по секрету.
что вещественного нужно от банка? Это просто база данных с операциями по счетам.
Карточки курьер привозит, бумажные справки — почта. Не представляю, что делать в банке лично, если там процессы налажены.
Мне не очень приятно фотографировать с паспортом и договорам и все это делать в личном авто курьера. Бывает справка нужна срочно, почта долго. Кроме айтишников, есть не айтишники, которым надо все рассказать и показать, в банках это делают.

Хорошо, когда есть выбор. Вы его сделали и я рад ) У меня карты многих банках в т.ч. и того про который вы намекаете )
Не очень приятно в очереди сбера полчаса стоять, чтобы смс-уведомления отключить. Или за картой ехать в другой конец города, а там отделение набито народом дверь закрыли за 15 минут до конца рабочего дня, чтобы еще больше народа не набилось.

Когда мне срочно нужна была справка, в убогом банке АБ «РОССИЯ», мне надо было ждать её 2 недели, а потом ехать за ней лично. Что в моем графике заняло еще пару недель.

все рассказать и показать, в банках это делают.

Последний раз в сбере, в котором нет онлайн-чата, где отвечают за минуты, на мой вопрос на сайте отвечали дней 10. Вопрос был «какого хера я полгода назад написал заявление на закрытие счета, а мне с него все еще приходят отчеты». Ответили, что счет не закрыли, так как там оставались деньги. И молчат полгода. Разумеется, надо снова идти в отделение и опять писать заявление.

Я про такие косяки могу часами рассказывать, хотя пользуюсь отсталыми банками по-минимуму, вынужденно.
В нашем городе иная ситуация, отделений много, проблем особых не возникает. Справки быстро получал для визы. Я просто написал, что банк сильно изменился, учитывая, что он полугосударственный это даже ставит в тупик ) Может не везде )
да, это унылое г. стало чуть менее унылым… Но до конкурентоспособности ему, как запорожцу до суперкара. Но с такой-то матерью можно заставить его ехать.
Есть люди, которые всем недовольны. У них очень хорошо оформлены офисы, хорошее приложение и неплохой клиент банк. Я выбрал этот банк и чаще всего им пользуюсь, значит конкурентноспособный и у всех моих друзей есть, что облегчает переводы.
Я полностью доволен тиньковым, был счастлив от банка Связной и меня впечатляет Точка.
Зачем мне оформление офисов, я не хочу работать курьером у банка и куда-то бегать по офисам. Особенно, когда у других бегать никуда не надо.
Переводы у тинькова бесплатны в любой банк, вот где легкость. Сбер дерет 1% за перевод на сбер в другой город, а их тарифы по картам одни из самых невыгодных на рынке.

Их мобильное приложение самое тормозное, из тех что я пробовал. Пока оно запустится и просканирует телефон на вирусы, я уже забываю что хотел сделать.
Вы наверное просто за Навального, я по другому не могу объяснить ваши ответы. У меня просто 6 карт по 2 от каждого банка и я использую преимущества каждого, но я не могу сказать, что кто-то сильно круче.

Да сканер карт от Тинькова впечатляет ) Переводы у Тинькова бесплатны в любой банк из-за того, что нет расходов на офисы, а не будет банкоматов, Тиньков не нужен будет, а эту инфраструктуру строят другие банки и самая большая у Сбера.
и что плохого в том, чтобы использовать чужую инфраструктуру?
Вот не начислять проценты на остаток по дебетовой карте — плохо.

Я рассказываю про цифры, тарифы и конкретные факты. Вы озвучили преимущество сбера в виде удобных очередей в красивых офисах.

Если сбер завтра предложит лучшие тарифы, сервис и будет показывать хорошие темпы развития — я переметнусь в него, мне не принципиально.
Могу даже забыть их скотское отношение за все эти годы.
которым надо все рассказать и показать, в банках это делают

Зачастую в банках показывать и рассказывать приходится как раз для операционистов ))
Более того, вот как раз такой открывается :) https://www.monobank.com.ua/
В россии таких уже много. Связной банк вот успел открыться и закрыться. Поэтому когда на фоне такой конкуренции эти динозавры ничего не хотят менять в своей работе, это странно.

Одни банки приносят дебетовую карту курьером на следующий день, вторые 2 недели(!!!) одобряют её! Одобряют дебетовую карту!
Более того, я писал им по этому поводу в службу поддержки, но воз, как видно, и ныне там.
Дебилы, блять )
это как:
— где карту получали туда и топайте?

если последний раз вас перекинули на https, то чего вы лезете на http?
По своему опыту скажу, что все ещё более грустно. Сообщал об уязвимостях многим компаниям, в том числе и тем, которые есть на Хабре (казалось бы, они должны быть более адекватными).

Кто-то исправляет, но таких мало. Кто-то исправляет, но баги появляются снова (я даже не представляю, как они это делают). А многие просто забивают и игнорируют сообщения.

Уверен, что если информацию о багах публиковать, мы увидим гору истеричных статей уровня «В Сбербанк онлайн уязвимостей нет». А если кто-то все же взломает компанию, которая ничего не делает для защиты данных, то начнётся истерика про злых хакеров. Хотя их предупреждали. И не раз.
Думаю, большинство компаний игнорируют сообщение об ошибках потому, что если на них прореагировать, то начнутся внутренние разборки и поиски виноватых, которые легко могут закончиться депремированием всего отдела и увольнением менеджеров и специалистов по безопасности. Остаться после работы чтобы исправить и сделать коммит не позволяет SVN и логгирование, вот и сидят тихо в надежде, что пронесет.
Да ну, бред. Можно по-тихому выпустить патч в очередном апдейте. Можно по-дружбе скинуть своему человечку из отдела QA, он штатно откроет тикет в багтрекере. Да куча вариантов.
Мне скидывали дырку. Передал безопасникам так потом замучили вопросами откуда я этого человека знаю, что это за человек и т.д. Целые совещания собирались.
Никакого роялти за уязвимость не заплатили. Только нервов и времени кучу потерял. В общем больший профит сразу статьи писать. Хоть известность приобретешь которую худо бедно можно в таньгу конвертировать.
> Кто-то исправляет, но таких мало. Кто-то исправляет, но баги появляются снова (я даже не представляю, как они это делают). А многие просто забивают и игнорируют сообщения.

```
git push --force
```
Вы же в приличном обществе, и вдруг такое…
«если информацию о багах публиковать» — у меня возникают подозрение, что это единственный способ заставить их что-то делать, а не кормить отписками…
А что Сбербанк онлайн?
Выкатил пару дней на сайте двухфакторную авторизацию, на мойтелефон смс с подтверждением смог отправить и я благополучно зашёл, а на телефон мамы от её аккаунта он смс отправить не смог, в чём честно и признался.
Утром эту срань выпилили и вход очуществлялся по старинке с логином/паролем.
И я надеюсь, что все причастные получили знатных пиздюлей, чтобы больше такого не происходило.
Кто-то обнаружил, что пароль администратора был adminadmin

После этой фразы я потерял сознание… Очнувшись, понял, что чуть не проломил стол, стену и собственный лоб, отбивая «Фейспалм» и бъясь о разные твердые поверхности головой…
Лично наблюдал пароль рута admin в одной прошивке касс. :) Уже не удивляюсь… Общий уровень специалистов падает, результат налицо.
А как теперь оплачивать проезд в Будапеште, кто знает? Раньше были терминалы и бумажные билеты, что сейчас?
Думаю что они остались. Эта система вроде бы была в дополнение к уже существующей.
Остались. Есть разовые, суточные и т.п. Проездной на месяц привязывается к ID и передать его другому лицу нельзя (разве что другое лицо похоже на вас:) )

Сохранил статью в закладки как аргумент против пропаганды бездумного повсеместного White Hat этикета. Компании заслуживают сообщения об ошибках только за хорошее поведение.

…Выражающееся как минимум в наличии на корневой странице сайта ссылки на страницу с минимальным полиси:


  • условия на которых разрешено "добросовестное" тестирование сайта на дыры (допустимый рейт запросов который не вызовёт DoS, требование не изменять данные реальных посторонних юзеров и не распространять данные к которым удалось получить несанкционированный доступ, etc.)
  • email куда присылать отчёты о дырах/ошибках
  • адекватный (до 3-х месяцев максимум) временной период после отправки письма, через который разрешено выкладывание инфы о найденной уязвимости в паблик
  • отказ от преследования при условии следования вышеперечисленным правилам

А отсутствие на сайте такой инфы должно служить whitehat-ам сигналом выкладывать найденные дыры в паблик немедленно.

Есть пример сайта, на котором подобное действительно есть?
У Valve (Steam) есть нечто отдаленно похожее. Если с сайта Steam перейти на сайт Valve (например по ссылке «О Valve»), там в контактах есть раздел Security Issues с email и рекомендуемыми действиями, но без отказа и «условий пентеста».

Ранее была просто указана почта security@ в General Contact Info, но письма часто игнорировались. Дошло до того, что разработчик Euro Truck Simulator устроил Harlem Shake на своей странице в сообществе, не добившись от Valve ответа по XSS. Его забанили, последовали скандалы, закончившиеся вполне себе хэппиэндом. Почитать можно например тут, и год спустя.

А вот на сайтах EA (Origin) / BattleNet (Blizzard) подобное сходу не находится
Вот тоже интересно, есть ли такое хоть у кого-то?
Браво. В комментариях процветает правильная и мудрая мысль.
Если нашёл багу у компании, сначала проверь, участвует ли компания в баг баунти, если да, то продавай им уязвимость через баунти, если нет, то продавай уязвимость тому кто купит.
UFO just landed and posted this here
Постойте, то есть, герой сообщил об уязвимости ответственным за систему и потом, после того как достаточной реакции, на его взгляд, не последовало, он сообщил прессе?
Перефразирую. Приходит к вам домой почтален, стучится — ни кто не отвечает. Он дергает ручку, обнаруживает, что дверь открыта — он оставляет посылку, берет печеньку и пишет записку — дверь была открыта, заперите пожалуйста, а то все печеньки растащат. P.S. взял печеньку.
На следующий день приходит, проверяет дверь. Дверь открыта, он берет печеньку и идет на рыночную площадь и сообщает всем, что вот тот человек не запирает свои печеньки, хоть его и предупреждали.
Такова мораль хакеров. Т.е. он хакер, а не программист ))
Забыли добавить, что печеньки, хранящиеся у человека, принадлежат людям с рыночной площади
Угу, и человек не просто не запирает печеньки, а принимает их у людей с рыночной площади на ответственное хранение.

Вместе с паспортными данными...

… за хранение которых, люди с рыночной площади платят деньги человеку.

Ага, теперь они все могут ими поделиться между собой по критерию «кто вперед»
Прихожу я банк и вижу, что комната с банковскими ячейками имеет дверь для уборщицы, которая закрывается на щеколду снаружи здания.

Я захожу внутрь (через дверь для клиентов), говорю ресепшену — мол, что ж за фигня — у меня там деньги хранятся. Ресепшен говорит «м… уу… м...» и всё. Я возмущён — там мои деньги хранятся — я привлекаю внимание общественности к факту, что у банка дверь без замка.

Банк сажает меня за «взлом банковской системы путём сообщения неограниченному кругу лиц о том, что банк не запирает дверь в хранилище».
И всё бы хорошо, если бы для проверки своей идеи вы не зашли в хранилище и вынесли пару мешков для себя, в качестве эксперимента.

А без эксперимента банк будет говорить "Врет он все, у нас надежно". До тех пор, пока кто-нибудь не зайдет и не вынесет вообще все. Но только в случае эксперимента можно просто все вернуть, а вот найти уже грабителя может и не получиться. Как будто первый день живете.

Есть законодательные нормы. Незаконное проникновение — незаконно.

Формально — скорее всего да. Хотя не удивлюсь, если найдутся страны в которых есть исключения в виде оправдания, если не награждения, в случаях, когда такое проникновение служит общему благу в каком-либо его виде. То, что их нет где-то говорит скорее о несовершенстве системы. А еще есть следование духу а не букве закона, что тоже в таком случае (если вы после того как вынесли пару мешков согласны добровольно их вернуть в целости) вас оправдает в случае когда суд заинтересован в благополучии общества, а не в собственной извращенной статистике или откатах банка, который вообще-то тоже заинтересован в нахождении таких дыр малой кровью, но почему-то иногда действует против своих же интересов.

И в момент горения пятых точек пухлых топ-менеджеров один из них вспоминает, что приходил недавно недовольный клиент и возмущался их первоклассной системой безопасности, на которую было запилено так много бюджетных енотов. Кого же теперь находчивые руководители будут прикладывать к своему больному месту, чтобы остудить накал страстей?
«неверная аналогия подобна котёнку с дверцей»
вынесли пару мешков для проверки, не остановят ли по дороге
после того, как не остановили, положил мешки снаружи, оставив номер телефона, через 10 минут мешки занёс обратно охранник, по указанному номеру так никто и не перезвонил
Кстати в одном банке как раз примерно так и было. Его и грабанули.

А по-венгерски на Хабре ругаться можно, интересно?

UFO just landed and posted this here
UFO just landed and posted this here

… под своим реальным именем

UFO just landed and posted this here
девелоперы
на GT
Вы правда считаете, что серьезные российские ИТ-компании(подразделения) состоят из кул-хацкеров, которым нужно попиариться в постах и посраться в жестко пре-пост и вовне модерируемых комментах?)

Заказчик считал, что если _очень дорого_ заказать у T-Systems — можно спать спокойно: ведь не может же такой монстр лажануть. Но. Скорее всего T-Systems просто взяла деньги, проект реализовывала дочерняя контора без опыта разработки таких проектов или вообще субподрядчик, не связанный с Т-Systems (и получившим заказ по знакомству). Все делалось, естественно, за минимально возможные деньги.

QA тестирует соответствие продукта ТЗ, где ни слова о том, что система не должна иметь пароля adminadmin или не должна пересылать/получать цену на клиентскую сторону. Так что с QA, уверен, там полный порядок ;)

На правах работника дочерней фирмы T-Systems

В нормальных компаниях есть тестирование безопасности и вообще sanity checking. Это не просто проверить на соответствие ТЗ.

Скорее всего, своих хакеров боятся больше
Нормальная система. Рассчитанная на честность граждан. Я читал, что раньше, при Союзе, можно было зайти в автобус, там стоял аппарат для монеток, в него нужно было накидать монеток, а потом отмотать билет. В принципе, тут всё то же самое, только в электронном виде.

А студент просто оказался не готов к социалистическому будущему. Может, они там коммунизм втихую строят, электронный такой? А что при коммунистах с такими делали? Правильно — расстреливали наказывали! Вот его и наказали.

Там и президент носит роскошные усы, всё как положено! Интересно, курит ли он трубку?
А за что минусуем-то, товарищи? Смысл в том, что система доступна через интернет, т.е. фильтра ни по гражданству, ни по территории, с которой производятся действия с ней, там нет.
Система была хороша тем, что все граждане вокруг кассы внимательно следили, кто сколько в кассу кинул. Довольно распространено было входить в транспорт, если у тебя проездной, предъявлять его всем пассажирам и говорить «Проездной». То есть, был общественный контроль!
С описанной здесь ситуации вообще никаких аналогий нет.
UFO just landed and posted this here
О да, я как раз любил прикрыв ладошкой моетоприемник и сделав вид что кидаю монетку, оторвать билетик даром. Я тогда был второклассником и любил кататься в аэропорт. Меня иногда палили и отчитывали старушки, но с автобуса никто не гнал и билет не отбирал.
Да неужели следили? С проездным, действительно, была такая мода. Но разве что-то делали с тем, кто не предъявил проездной и не купил билета?
1. Контролёры выписывали и отбирали штраф либо препровождали в отделение.
2. Водитель проводил контроль при выходе, если видел безбилетника.
Нет, при чём здесь контролёры и водитель? Вы написали, что

все граждане вокруг кассы внимательно следили, кто сколько в кассу кинул… То есть, был общественный контроль!


Вот я и спрашиваю, неужели граждане (пассажиры) следили? И разве они что-то делали с тем, кто не предъявил проездной и не купил билета?
«Вы написали, что » — посмотрите внимательно, кто что написал.
Прошу прощения, я тоже оказался невнимателен :)
> Довольно распространено было входить в транспорт, если у тебя проездной, предъявлять его всем пассажирам и говорить «Проездной».

Это правило присутствовало в «Правилах пользования общественным транспортом», экземпляр которых был вывешен в каждом вагоне.
И самое смешное – вы могли сами установить цену...

Да там — ВСЁ самое смешное.
Заплатил 50 форинтов и был задержан на несколько часов за то, что нашел уязвимость. А вообще, я считаю, что у любой крупной компании должна быть поддержка ИБ, чтобы напрямую писать о найденных уязвимостях. В противном велика вероятность пропустить уязвимость в массы, так как обычная поддержка не поняла серьезности проблемы и не сообщила куда следует.
Helloworld — уязвимости. Чтобы допустить такие ошибки, это должно быть вообще первое приложение, которые ты реализовывал в своей жизни.

Набрали студентов на практику)

Как автор написал в статье, большинство студентов бы сделали лучше. У нас как раз студенты практику проходят, над этими уязвимостями они очень даже поржали :) Разве только они набрали студентов из гуманитарных вузов.

Справедливости ради, студенты могли бы сделать лучше в конкретно этих моментах, но не факт что не налажали бы аналогично в других. Эти проблемы смешные и очевидные когда они уже найдены, для людей без опыта пропустить такие вещи вполне нормально. Это никак не оправдывает поделие, конечно.

любой пентест без письменного согласия владельца ресурса наказуем.А если дыра размером с аклахому то будет жить годами как например в SMB у мелкомягких еше с времён первой самбы зияла дыра, но все юзали и не парились даже в комюнити пока петя и варкрай не грянул
У него история несколько другая была: ему никто из коллег (полагаю, конкурентов) толком не верил, а, когда он стал им костью в горле, упекли в дурку. Хотя, может, и запугать не смогли. Так или иначе, он пошёл поперёк чужого бизнеса, а здесь такого не было.
Так или иначе, он пошёл поперёк чужого бизнеса
А чьему бизнесу мешало бы мыть руки? Смысл именно в том, что врачи отказывались признавать, что смертность вызвана именно их действиями.
Ну так приём родов (как и любая другая медицинская деятельность) — это по сути бизнес, в который клиенты (роженицы) несут деньги. Грубо говоря, в одном городе есть несколько роддомов, в которые поток рожениц попадает относительно равномерно; результаты в среднем одинаковые (плохие), и доходы у роддомов в среднем тоже одинаковые. Тут в одном из них врач делает некое открытие, радикально улучшающее результаты, и начинает в своём заведении широко его внедрять. Через некоторое время сарафанное радио разносит информацию о результатах среди потенциальных клиентов, и поток естественным образом перераспределяется в заведение-«выскочку». Конкуренты не верят и не хотят опробовать улучшенную методику; вследствие этого у них падают доходы — при том, что «сливки» они уже протеряли. Делают вывод: выскочку надо устранить. Остальное — последствия. Это, конечно, предположение, но в историю попадает достаточно логично. Просто так, если человека считают помешанным, но не буйным, в дурку помещать нет смысла. Ну, разве что, если кто-то ему очень сильно завидовал…
Тут скорее речь о нежелании публично признать, что «оказывается, это я своими руками отправил на тот свет 30% пришедших ко мне рожать»… Т.к. принятие методики Земмельвайса бы именно это и значило.
Насколько я понимаю, в то время никто из врачей нигде не заморачивался с этим. И в первое время это всё же будет не признанием ошибок, а открытием, которое постепенно распространяется. И никто винить не будет за бездействие, о котором ты и не догадывался. А вот если сначала долго не признавать, то да.
Показательный он не для Венгрии, а для человечества, по меньшей мере — для нашей цивилизации. Поскольку идеи Земмельвайса были не приняты и подняты на смех далеко не только в Венгрии. Хотя он сделал многое, чтобы распространить их как можно шире.
Соглашусь, что это глобальная проблема. В «Психологии влияния» рассматривается, как и почему это работает именно так…
То есть его билет анулировали, а 50 денег не вернули? Это тоже законно?
Наверняка в правилах пользования проездным указано, что в случае нарушения этих правил он может быть аннулирован без компенсации.
Какой же детский садик!
У меня тут мир недавно рухнул. Оказывается! Люди в принципе компьютерами особо пользоваться не умеют. Умеют только частично офисные сотрудники и ИТ-отрасль. ВСЁ!
Со всеми этими андроидами и айфонами многие рожденные до 1980х вообще не в курсе что внутри компьютера особо.
Во многих российских (не только) интернет-магазинах можно в корзине поставить отрицательное количество товара, в некоторых система даже автоматически выставит счет.
А заплатить отрицательную сумму тоже можно?
Курьер отберёт у вас нечто аналогичное товару :)
А это покупатель должен прислать. Стороны договора местами меняются.
Как всё прозаично оказалось… А я-то уж размечтался, что будут высылать товар, состоящий из антивещества или ещё что-то подобное :(
UFO just landed and posted this here
Работодатель и Исполнитель в подобных организациях:

— Р: Ребята, нам надо сделать вот такую систему. Она должна быть выполнена в крайний срок.
— И: Но у нас нету…
— Р: Завтра приду смотреть на результат.

— Р: О, я смотрю всё работает (система оплаты). Давайте, выкатывайте.
— И: Но…
— Р: РЕЛИЗ!!!
После вступления в силу GDPR такое нарушение со стороны компаний будет нести за собой огромные штрафы (до 20 млн евро).
Вообще, ничего удивительного. Имел удовольствие работать в проекте для T-Mobile (родственная компания). Как минимум она аутсорсит большое число разработок для самоих себя. Какого-то контроля за качеством разработки не было. Компания, которая взялась за разработку, сама переаутсорсила это дело дальше, оставив в карман Н-ную сумму. Ну а конечный разработчик был некомпетентен примерно как в описанном примере в статье. Разница в ситуации была лишь в том, что компания-посредник, осознав, что происходит, срочно наняла своих разработчиков и забрала проект у субподрядчика. А могла ведь и просто впарить Ти-Мобайлу, что есть…
Недавно столкнулся с одним сайтом — одна знакомая попросила за их фотку проголосовать. Это сеть городских сайтов, которые за вступительный взнос от 145 000 р. до 350 000 р. позволяют купить франшизу (еще в пакет надо инвестиции от 740 000 р. внести)
Ну вот суть — сайт при клике за участника ставит куку PHPSESSID (именно!). Отключаю я куки в браузере и жму проголосовать — успешно проходит 500 лайков. Смотрю прошлые фотоконкурсы — у выигравших 3000-8000 лайков, а второе место от 300 лайков. Народ в комментариях пишет что накрутка — а админы говорят что все голоса с разных айпи и рейтинги верны. Авторизации конечно нет.
И так все последние конкурсы — все накручены с огромным отрывом и только вторые места показывают реальное количество посетителей.
Кстати за эти конкурсы естественно дарятся призы партнеров.

Это является взломом? За мной выехали?
Если у них в правилах голосования указано, что не больше одного голоса с ip адреса в сутки, то да, ваши действия противоречат правилам и голоса могут обнулить. Если правил нет или в них не указано какие голоса принимаются, то понятно, что организаторам честное голосование не нужно и скорее всего сами будут накручивать.

нету никаких "взломов"
человек на своем! компьтере, с помощью кнопочек насоздовал/напоменял какие-то там символы у себя на экране, которые вообще могут ничего не означать
тем более, что это и не символы никакие — а просто список нолей с единицами…
так что, адьёс всем, кому там чо-то померещилось

А что не так с копированием с устройство на устройство?
В Минске можно оплатить проезд в метро SMS. Заказывал билеты со своего корпоративного номера, пересылал семье мессенджерами.
Потом нас конечно накрыли…
Теперь думаю как в Праге SMS билеты генерить.
UFO just landed and posted this here
UFO just landed and posted this here
Если вы просто вводили урл, (shop.bkk.hu), сайт просто не открывался. Вначале я думал, что он упал, но оказалось, что они просто не сделали редирект с http на https.

Пфффф… Венгрия. У Сбера в России до сих пор так. То есть понимаете, в чем суть, да? Сбербанк. Не открывается по http. У них просто не сделал редирект. Я даже не удивлюсь, если ко мне однажды после этого придут, я же совершил попытку взлома.

А в чем была проблема отправить при модифицированном запросе не 50 вместо 9500, а 9499 или вообще 9501? 9501 вместо 9500 — и проверил и урона финансового не нанес, даже заплатил сверху за возможность трестировать. :D

Просто когда ты себе цену сбиваешь в ноль — это явная эксплуатация уязвимости. А тут баг баунти нет, договора на тестирование нет. Человек то по факту нарушил закон. И может ему еще надо было оставить этот проездной? То что у моего соседа дверь открыта и никого нет — это не значит, что если я зайду и вынесу что-то, то это будет легально (типа сам дурак).
Было бы сильно обиднее, если бы ему в итоге аннулировали проездной, купленный за 9501 форинт…
UFO just landed and posted this here
Вот тут на TechCrunch интересные детали. Про админку с паролем adminadmin, и про то, что бедняга даже не мог воспользоваться билетом, потому что живет в другом городе. https://techcrunch.com/2017/07/25/hungarian-hacker-arrested-for-pressing-f12
Sign up to leave a comment.

Articles