artemerschow Sep 3 2015 at 12:07

Как на Юлмарте получить доступ к покупкам организаций не через дыру, но дверь

2 min

12K

E-commerce management*

From sandbox

+26

Comments 13

Rondo Sep 3 2015 at 12:23

Напоминаю: Юлмарт лидирует в спортивном держании *** во рту. // Некстджен и Усиление (@turbojedi) 28 августа 2015
Рассылка от 12 июня и сегодняшняя

L11R Sep 3 2015 at 18:53

Успокойтесь, это просто бизнес. Если бы людей не интересовал #крымнаш, то он бы не использовал подобные слоганы. Так что проблема в людях, в первую очередь, и их интересах, а не в Юлмарте.

vasimv Sep 4 2015 at 10:51

Проблема, в первую очередь, в отстутствии принципов ведения бизнеса. Либо ты делаешь деньги, не паря мозг крымнашами, либо принципиально поддерживаешь точку зрения партии и правительства, не предлагая этот самый хамон.

vasimv Sep 4 2015 at 10:46

Индуцированная шизофрения — она такая…

sankir Sep 3 2015 at 13:45

Распространение информации об уязвимости в СМИ до закрытия уязвимости — медвежья услуга, как мне кажется.

Shoohurt Sep 3 2015 at 14:05

Да, это нехорошо, но очень часто это единственный надежный способ привлечь внимание виновных. В данном случае даже интересно, как скоро отреагирует «Юлмарт» и отреагирует ли вообще. Пока что прошло два часа…

Newbilius Sep 3 2015 at 14:36

Немалое число сервисов закрывает баги только после публикации в СМИ, а тёмные личности всё это время продолжают дырами пользоваться.
Так что не всё так просто и однозначно.

MetaDone Sep 3 2015 at 16:35

Сомнительная дыра.
Ок, допустим, я пытаюсь зарегистрировать компанию по инн и кпп.
Если ее нет — вижу пустой список покупок.

Если она есть — думаю разработчики не такие идиоты, чтоб не проверять существование организации, т.е. меня просто пошлют лесом.
Но если я уже привязал организацию к себе, очевидно, что я как-то связан с закупками и мне нужно знать что и как покупается (бухгалтер к примеру)

В итоге получается, что если злоумышленник не сможет получить доступ к данным о закупках произвольных существующих фирм, то это баг вывода в приложении, но не дыра в безопасности

artemerschow Sep 3 2015 at 17:19

Если честно, то я не до конца понял вашу мысль с «если она есть\если её нет», но вообще то в том и дело, что по сути я могу получить данные к закупкам произвольных фирм. Беру инн\кпп организации (данные открыты, да и куча сайтов по названию юрлица вам выписку из ЕГРЮЛ покажут) и, если она делала покупки в Юлмарте, то я получаю данные к истории закупок и могу отменять текущие. И неважно бухгалтер я этой организации или конкурент, которому за радость поотменять заказы из вредности или ещё чего

MetaDone Sep 3 2015 at 17:28

Тогда еще вопрос — баг воспроизводили с фирмой, которая уже была прикриплена к вашей учетке или же подсоединяли новую организацию? Если удалось получить данные произвольной фирмы — то все очень плохо у юлмарта, если же нет — то никакой угрозы в том, чтоб видеть свои же заказы

artemerschow Sep 3 2015 at 17:40

И с той в которой работаю (только они об этом не знали) и брал произвольные

Ik0l Sep 4 2015 at 12:35

Моё знакомство с Юлмартом закончилось уже после регистрации, когда на почтовый ящик, используемый для регистрации пришёл мой пароль в открытом виде

BeLove Sep 5 2015 at 19:31

Они могут отсылать его в тот же момент, как он попал к ним (как раз — при регистрации).
Отсылаем в открытом виде на почту, хэшируем, сохраняем в базу.
Часто встречаемый алгоритм.