Information Security
Web services testing
Comments 19
+8

Если кого-то эта статья вдохновит на поиски уязвимостей без разрешения владельцев ресурса и вымогательство вознаграждения — советую ознакомиться со статьями 272 и 163.

+3

Я тоже "слегка" удивился тому, что автор решил залогиниться в систему. Да и использование реального xss payload по ощущениям тоже за гранью дозволенного.
А вообще история интересная, ситуация распространенная, уверен внутри организации безопаснеры есть, но заняты не тем.

0
Но 11 класс накладывает ограничения на свободное время подготовкой к егэ и олимпиадами. Поэтому вторую я пишу лишь спустя несколько месяцев вылетев со всех олимпиад.
Хотите доброго совета — не вздумайте сделать безопасность (вебсайтов или еще чего либо) своей профессией. В местных корпорациях ит безопасники это постоянный предмет издевательств, т.к. им профессионально приходится заниматься 1) Тем, что они не совсем понимают (потому, что ит безопасность затрагивает почти все ит насквозь) и очень часто затрагивает и бизнес процессы и способы разработки. А в бизнес процессы вас вообще никогда не пустят там что либо менять; 2) Тем, на что им никогда не предоставляют необходимых ресурсов, т.к. считают, что раз у нас есть один ит безопасник у нас теперь все будет безопасно; 3) Для долгой работы вам придется выбирать себе самому проблему из сотен, придумывать какую ее часть вы можете решить, раздувать проблему до уровня предприятия и успешно ее якобы решить (желательно создав проблему неважному сотруднику, чтобы он своими жалобами подтверждал что вы действительно что-то делаете); 4) В случае возникновения реальной проблемы иметь готовые фальшивые истории для впечатления начальства и знать как вы сможете замолчать проблему. 5) Для решения действительно важных моментов ит безопасности вам никогда не предоставят политической воли для изменения способов работы (бизнес процессов) в компании. 6) Для работы ит безопасником в большинстве неместных корпораций вы не вышли местом рождения. Ну а пока, вполне можете развлекаться…
Как говорят в спецслужбах ловящих российских хакеров:«Они всегда безработные. И готовы откликнуться на предложение работы.»
+3
Вы путаете offensive и defensive. Издевательства над ИБшниками в компаниях, Вы серьезно?

Вы либо фантазируете, либо прилетели к нам из параллельной вселенной.
0

Ну не то чтобы издеваться. Но часто бывает проще обойти секьюрити, чем договориться с безопасностниками. Они шевелятся ещё хуже админов из-за бюрократии. И то о чём пишет предыдущий комментатор я видел в разных компаниях. Кстати за рубежом не сильно лучше.
Делают новому сотруднику аккаунт 4 месяца: Будет работать под чужим. Не дают добавить правило в файрвол: обойдём через logmein. Не дают скачивать Файлы больше гигабайта через VPN: выложим бэкап в папку /assets корпоративного сайта и прокачаем через http.


Это плохо, но зато позволяет выполнять задачи за разумное время.

0
Возможно речь про какие-то небольшие конторки, которые не понимают ценности безопасности.
Наверно, мне везло, но мне такие не попадались в последнее время.
Раньше я мог ещё представить серъёзную контору с несеръёзной безопасностью, но сегодня это не так часто можно встретить.
0

В мелких конторах обычно нет бюрократии, потому с безопасниками проще договориться. Я описал проблемы в больших конторах.
Там фундаментальная проблема бюрократии: админам проще ничего не менять, чтобы не сломалось. Безопасникам проще всё закрыть, чтобы никто не пролез. А девелоперам и бизнесу надо всё время доступы и изменения окружения. Вот для этого придумали девопсов, а девсеков ещё пока нет.

0
В совсем маленьких конторах могут быть проблемы с кадрами, которые не понимают или не умеют делать достаточно важные вещи.
Как другая крайность — начальство не понимает в этом смысл и поэтому «безопасник» — это кто-то другой, который безопасностью занимается за компанию.
0
От компании это не зависит.
Я часто езжу по рабочим местам у заказчиков, и если вижу, что мне какие-то права не выдали, но я знаю, как их получить (не портя работу системы) — я чаще сделаю всё сам, чем буду ждать 1-2 недели, пока это пройдёт официально
0
Работаю в довольно крупной конторе. Если что-то надо сделать, то происходит достаточно быстро, что бы не вспоминать слово «бюрократия».
Если в компании понимают важность безопасности, то и подход соответствующий.
0
Иногда 2 человека работающие бок о бок совершенно по-разному понимают что-то. А уж в «довольной крупной конторе» почти каждый человек понимает что такое «ит безопасность» по-своему. А действовать то надо одинаково. И снова, понимать это одна вещь. А выделять суммы (какие?), изменять разработку, изменять и отслеживать политику использования стороннего ПО и сторонних библиотек, изменять и отслеживать политику обмена данными с многочисленными партнерами, изменять и отслеживать политику выделения прав пользователям и не только для файлов, изменять и отслеживать политику грануляции прав для корпоративных приложений… (можно очень долго продолжать) это совсем другая вещь, и надо понимание что надо, а что нет. Это все деньги, дополнительные люди, снижение эффективности, дополнительные md. И понимание часто отодвигается на 2 и 3 й планы при тотальном стремлении сократить издержки даже на стаканчиках для воды и салфетках.
0
Верно. Если есть нормальное видение процесса, то и достижение цели происходит без особых скрипов и ненужной волокиты.
Не вижу почему в этом должна быть проблема повсюду. Разные компания по-разному оценивают риски такого плана и свои потенциальные потери если они это пустили на «как попало».
Похоже, мне явно везёт с местами, где я работаю. Потому и предположил, что это сильно зависит от конторы.
P.S.: Кстати, вода-салфетки есть. Кстати, интересный критерий.
0
Вы путаете offensive и defensive.
Наверное вы точно прилетели из далекой галактики. Сегдня парень занимается offensive, а завтра его пригласили «консультантом по ит безопасности». Или еще круче, парень выдает себя за ит безопасника, а реально хакерит. И дела с шалтаем болтаем (и с «оборотнями в погонах») тому открытое подтверждение.
Издевательства над ИБшниками в компаниях, Вы серьезно?
Вы путаете словесные издевательства заглаза и открытый смех в лицо. Только в одной компании не очень издевались на ит безопасниками. Когда это были ит спецы в отделах безопасности, т.е. подчинены совету директоров. Но они могли проникнуть в очень небольшую часть ит безопасности, т.к. ни с бизнесом ни с администрированием ни с настройкой оборудования никак не соприкасались и понятия не имели что там происходит. А многочисленные попытки заканчивались провалом, т.к. выяснялось что изучать дополнительно надо не просто много, а где-то начиная с универа и еще по году для каждой области. И да, раздувание щек это один из ключевых навыков безопасника. Чтобы хоть внешне не выдавать реальное положение дел.
Возможно речь про какие-то небольшие конторки, которые не понимают ценности безопасности.
От понимания ценности ит безопасности до реальной успешной и адекватной стратегии и готовности инвестировать в эту стратегию деньги и требуемый объем политической воли обычно пропасть. Вот в этой пропасти и болтается ит безопасность.
+3
Если честно, некоторые моменты в этой статье довольно сильно напрягли:
Уже много раз мне приходили cookie с различных сайтом
Подставил полученные куки и зашел в аккаунт crm системы сайта (не удержался, впервые так повезло). Права оказались не админскими, но их было достаточно для доступа к любой статистике по заказам, в т.ч. и данным покупателей.
Пробрутив все id от 1 до 10000 препятствий не встретил. Повторил еще несколько раз, никого такая активность не заинтересовала.


То, что здесь описано — чистой воды взлом, который подпадает под уголовную ответственность. То, что вы получили денежную и словесную благодарность, а не были показаны в эфире регионального телевидения, как хакер, который взломал сайты (нашел уязвимости), загрузил вредоносный код (JS-payload), украл учетные записи сотрудников (получил куки на сниффер) и данные кучи клиентов (все остальное) — довольно большая удача. Не подставляйтесь так в будущем.

Белые хакеры и исследователи и так делают многие вещи на грани законности, не стоит ее переступать ради веселья.

0
Такие «хацкеры», как наркоманы: знают что незаконно и плохо для личного здоровья, но все равно лезут. Каждому свое…
+1
Для вот таких blind XSS лучше использовать xsshunter. Он вам и скрин пришлет и факт уязвимости и ничего лишнего не сделает.
Only those users with full accounts are able to leave comments. , please.