artemerschow 3 сен 2015 в 09:07

Как на Юлмарте получить доступ к покупкам организаций не через дыру, но дверь

2 мин

12K

Управление e-commerce *

Из песочницы

+25

Комментарии 13

Rondo 3 сен 2015 в 09:23

Напоминаю: Юлмарт лидирует в спортивном держании *** во рту. // Некстджен и Усиление (@turbojedi) 28 августа 2015
Рассылка от 12 июня и сегодняшняя

L11R 3 сен 2015 в 15:53

Успокойтесь, это просто бизнес. Если бы людей не интересовал #крымнаш, то он бы не использовал подобные слоганы. Так что проблема в людях, в первую очередь, и их интересах, а не в Юлмарте.

vasimv 4 сен 2015 в 07:51

Проблема, в первую очередь, в отстутствии принципов ведения бизнеса. Либо ты делаешь деньги, не паря мозг крымнашами, либо принципиально поддерживаешь точку зрения партии и правительства, не предлагая этот самый хамон.

vasimv 4 сен 2015 в 07:46

Индуцированная шизофрения — она такая…

sankir 3 сен 2015 в 10:45

Распространение информации об уязвимости в СМИ до закрытия уязвимости — медвежья услуга, как мне кажется.

Shoohurt 3 сен 2015 в 11:05

Да, это нехорошо, но очень часто это единственный надежный способ привлечь внимание виновных. В данном случае даже интересно, как скоро отреагирует «Юлмарт» и отреагирует ли вообще. Пока что прошло два часа…

Newbilius 3 сен 2015 в 11:36

Немалое число сервисов закрывает баги только после публикации в СМИ, а тёмные личности всё это время продолжают дырами пользоваться.
Так что не всё так просто и однозначно.

MetaDone 3 сен 2015 в 13:35

Сомнительная дыра.
Ок, допустим, я пытаюсь зарегистрировать компанию по инн и кпп.
Если ее нет — вижу пустой список покупок.

Если она есть — думаю разработчики не такие идиоты, чтоб не проверять существование организации, т.е. меня просто пошлют лесом.
Но если я уже привязал организацию к себе, очевидно, что я как-то связан с закупками и мне нужно знать что и как покупается (бухгалтер к примеру)

В итоге получается, что если злоумышленник не сможет получить доступ к данным о закупках произвольных существующих фирм, то это баг вывода в приложении, но не дыра в безопасности

artemerschow 3 сен 2015 в 14:19

Если честно, то я не до конца понял вашу мысль с «если она есть\если её нет», но вообще то в том и дело, что по сути я могу получить данные к закупкам произвольных фирм. Беру инн\кпп организации (данные открыты, да и куча сайтов по названию юрлица вам выписку из ЕГРЮЛ покажут) и, если она делала покупки в Юлмарте, то я получаю данные к истории закупок и могу отменять текущие. И неважно бухгалтер я этой организации или конкурент, которому за радость поотменять заказы из вредности или ещё чего

MetaDone 3 сен 2015 в 14:28

Тогда еще вопрос — баг воспроизводили с фирмой, которая уже была прикриплена к вашей учетке или же подсоединяли новую организацию? Если удалось получить данные произвольной фирмы — то все очень плохо у юлмарта, если же нет — то никакой угрозы в том, чтоб видеть свои же заказы

artemerschow 3 сен 2015 в 14:40

И с той в которой работаю (только они об этом не знали) и брал произвольные

Ik0l 4 сен 2015 в 09:35

Моё знакомство с Юлмартом закончилось уже после регистрации, когда на почтовый ящик, используемый для регистрации пришёл мой пароль в открытом виде

BeLove 5 сен 2015 в 16:31

Они могут отсылать его в тот же момент, как он попал к ним (как раз — при регистрации).
Отсылаем в открытом виде на почту, хэшируем, сохраняем в базу.
Часто встречаемый алгоритм.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий