Valya-roller Nov 29 2018 at 10:28

Как я взломал одного хостинг провайдера

4 min

25K

HostingInformation Security*Website development*IT systems testing*Web services testing*

+32

Comments 11

UncleBance Nov 29 2018 at 10:48

Спасибо, интересно. И еще вопрос. Судя по содержимому статьи, уязвимостей хватало. Как часто вы сталкивались с эксплуатацией уязвимостей? И каковы были последствия. Еще раз спасибо.

Valya-roller Nov 29 2018 at 11:39

Спасибо за вопрос. Действительно уязвимостей хватало. С эксплуатацией увы почти не сталкиваюсь. Была недавно одна ситуация, как у компании на одном из проектов в поисковой выдаче появились порнографические материалы. Но там все банально было. Движком на проекте был Wordpress. И злоумышленники просто сделали bruteforce атаку на xmlrpc. Сбрутили пароль админа и спокойно разместили порнографический контент. Компания потом мучалась с результатами выдачи гугла.

UFO just landed and posted this here

Valya-roller Nov 29 2018 at 12:08

Я имел в виду не эксплуатацию уязвимостей, а сам процесс расследования инцидентов (форензика). Весьма интересное направление, но времени к сожалению на это направление у меня нет (

UncleBance Nov 29 2018 at 13:05

Я понимаю, что вопрос не особо приветствуется, но хорошо ли оплачивается аудит?

Valya-roller Nov 29 2018 at 13:18

Все зависит от сложности проекта. Но я не считаю себя профессионалом и иду на встречу потенциальным заказчикам. Если заказчик доволен проделанной работой — он и сам в праве добавить бонусы. Что собственно и вышло в данной ситуации.
Есть компании с которыми я взаимодействую просто для опыта.

UFO just landed and posted this here

Valya-roller Nov 29 2018 at 15:11

Сталкиваюсь регулярно. Чаще всего — «Спасибо, поправим». Ситуации с игнорированием тоже бывают. Но если проблема серьезная и затрагивает много пользователей — то я стараюсь довести проблему до состояния «исправлено». Однажды мне за предоставленную информацию о проблеме выдали вознаграждение в виде купонов на два стаканчика кофе. И смешно и грустно.

amarao Nov 29 2018 at 17:07

Это вы ещё к ним по ssh не логинились…

computerix Nov 30 2018 at 12:25

Знакомый интерфейс личного кабинета. Пытался завести с ними дружбу, не получилось. Показалось что все очень сыро у провайдера. Прочитал статью утвердился во мнении, что был прав. Поиск уязвимостей это ваше основное занятие или больше хобби?

Valya-roller Nov 30 2018 at 14:14

В личной беседе все же выяснили что речь о разных конторах. Поиск уязвимостей для меня пока остается хобби. Но вообще я тестированием занимаюсь. Так что в принципе области достаточно близкие.

Show the best of all time