Comments 13
UFO just landed and posted this here
+8
Несмотря на то, что, возможно, автор просто пробежался сканером по сайту и выложил это как статью тут, у меня возникает вопрос. А что у мегафона нет денег на такой сканер, чтобы найти такие ляпы и не позориться? Или отделу безопасности совсем лень? Про предварительное тестирование на такие вещи видимо не стоит и заикаться.
+2
Это ручная работа
-1
Суть моего комментария немного в другом.
Я думаю сканер должен был такое отловить, если бы им пользовались как надо. И Ваша работа бы не пригодилась.
Я думаю сканер должен был такое отловить, если бы им пользовались как надо. И Ваша работа бы не пригодилась.
0
«А как этот сканер запустить? И что это такое?» Думаю, скорее, у Мегафона нет денег на специалиста, знающего про сканер (или про XSS, что ещё печальнее). Теперь благодаря таким письмам они поднимают скилл.
0
Я понимаю опасность XSS на публичном форуме: оставил инъекцию в комментарии, своём нике или подписи, и другие пользователи получают её. Но как эксплуатировать XSS на сайтах типа «личный кабинет»? Только сам атакующий видит свои закладки на страницах, и больше никто. Особенно интересно — XSS в параметрах фильтров каталога товаров, как их использовать?
+2
несколько шагов:
1. берёмснифер
2. Пишем js скрипт маскируем под картинку
3. Отсылаем в поддержку магаза мол у вас xss с этой картинкой
4. Получаем сессию
5. Подставляем куки сессии в наш браузер
6. Заходим в админку
и тут несколько вариантов
7.a покупаем что нибудь и ставим ордер как оплаченый
7.b выставляем скидку на товар и покупаем
7.c льём шелл и получаем доступ к серверу.
1. берёмснифер
2. Пишем js скрипт маскируем под картинку
3. Отсылаем в поддержку магаза мол у вас xss с этой картинкой
4. Получаем сессию
5. Подставляем куки сессии в наш браузер
6. Заходим в админку
и тут несколько вариантов
7.a покупаем что нибудь и ставим ордер как оплаченый
7.b выставляем скидку на товар и покупаем
7.c льём шелл и получаем доступ к серверу.
0
Есть только пара НО.
1) Надеемся что сессия не привязанна к IP
2) Стоят не http-only куки.
1) Надеемся что сессия не привязанна к IP
2) Стоят не http-only куки.
+2
2. Пишем js скрипт маскируем под картинку
Сейчас публичные сервисы (gmail, mail.ru) копируют картинку себе и не оставляют в письме ссылки на внешний ресурс. Корпоративный outlook по умолчанию блокирует подгрузку снаружи. Т.е. картинка должна появиться при переходе по внешней ссылке, что настораживает (если это не инстаграм или fastpic.ru).
Ну и главное — я думаю, у поддержки нет авторизации в админке сайта. Зачем это специалистам первой линии?
0
И еще какое-то время назад пароль в личном кабинете можно было делать только из цифр.
0
так что я бы не стал особо доверять мегафону свои деньги, информацию и личные данные — как минимум так как нет редиректа с http на https в магазине Мегафон
ОМГ, теперь придется отказаться от покупок и на ebay.com, и на apple.com, и на zappos.com, и на ozon.ru, и на mvideo.ru… Кошмар!
0
Sign up to leave a comment.
Информационая безопасность в сфере телекома на примере Megafon'а