Comments 31
Сбербанк, говорите?..
Карты у них подвязываются через paymentgate.ru
… у которого веб-сервисы, директории и тестовые страницы наружу торчат
paymentgate.ru/payment/webservices
engine.paymentgate.ru/merchant
test.paymentgate.ru/testpayment/merchants/alfa-test/test.html
paymentgate.ru/payment/webservices
engine.paymentgate.ru/merchant
test.paymentgate.ru/testpayment/merchants/alfa-test/test.html
После таких статей понимаешь, что оплата всегда должна быть через отдельную специальную карту…
Попробовал перебрать, что то не получается… видимо пофиксили уже
Использовать 4-6 значные коды практически всегда плохая идея — всегда кого то да взломают после долгого брута. Берите хотя бы 9 цифр.
На мой взгляд ненормально позволять вводить неверный код более 5 раз. Далее надо требовать запрос нового кода, причем позволять это делать допустим раз в 10 минут. Ну и ввести временную блокировку аккаунта допустим при 15 подряд идущих неверных вводах.
А 9 цифр — это очень ударяет по удобству для юзера.
А 9 цифр — это очень ударяет по удобству для юзера.
Это сделает брутофорс дольше, но для 4-6 цифр и для тысячи аккаунтов, вероятность что кого то взломает все равно остается высока. А полностью блокировать аккаунт не получится. Значит надо увеличивать длинну кода чтобы сделать брут на порядки сложнее и бесмысленней
Дык, можно в разные аккаунты ломиться. Вероятность угадывания когда остаётся той же. Нужно после скольких-то попыток IP банить, тогда поможет.
Использовать пароль (тем более получаемый по СМС) для аутентификации в сервис работающий с деньгами вообще плохая идея.
Так и запишем, если нужен бесплатный пентестинг, пригласить fryday на интервью.
Вопрос к автору, не совсем очевидно для чего дважды друг за другом tac?
Может какой скрытый смысл есть два раза переворачивать stdin?
$ curl 'https://platius.ru/ru-RU/Login/PasswordStep' --data 'Login=%2B7xxxxxxxxxx&Password={}' -kis | head -n 1
HTTP/1.1 200 OK
$ curl 'https://platius.ru/ru-RU/Login/PasswordStep' --data 'Login=%2B7xxxxxxxxxx&Password={}' -kis | tac | tac | head -n 1
HTTP/1.1 200 OK
Может какой скрытый смысл есть два раза переворачивать stdin?
Это такой хак, который позволяет не получить от curl следующую ошибку:
Дело в том, что head закрывает pipe до того, как curl запишет туда страницу полностью. Если знаете более элегантный путь, отпишите пожалуйста.
$ curl 'https://platius.ru/ru-RU/Login/PasswordStep' --data 'Login=%2B7xxxxxxxxxx&Password={}' -kis | head -n 1
HTTP/1.1 200 OK
(23) Failed writing body
Дело в том, что head закрывает pipe до того, как curl запишет туда страницу полностью. Если знаете более элегантный путь, отпишите пожалуйста.
Ребята, привет!
Меня зовут Кирилл Сухоносенко — я технический директор Platius.
От лица компании Platius я хочу сказать следующее:
ПС: We’re hiring! Мы ищем новых коллег, которые готовы присоединиться к нашей команде. Сильные C# программисты и team leads — welcome!
Присылайте ваши резюме на job@platius.ru!
Меня зовут Кирилл Сухоносенко — я технический директор Platius.
От лица компании Platius я хочу сказать следующее:
- Во-первых, спасибо Артему за найденную уязвимость!
- Во-вторых, мы ее закрыли.
- В-третьих, мы сожалеем, что такая проблема проскочила через наше тестирование.
- В-четвертых, насколько мы знаем, этой дырой в безопасности не успели воспользоваться злоумышленники. И мы приняли меры, чтобы они не смогли ей воспользоваться впредь.
- В-пятых, мы думаем, что стоит объявить награду за ошибки, подобной этой. Поэтому мы готовы начислить 10 000 бонусных рублей Platius на указанный Артемом счет, которые он сможет потратить в отличном месте — Цурцум-кафе — www.facebook.com/zurzum
- В-шестых, мы думаем открыть программу bug bounty — опубликуем условия, как только решим как это лучше организовать.
- В-седьмых, мы просим community бережнее относиться к нашим пользователям, и не публиковать в открытых источниках полный код exploit-а. Не стоит подвергать пользователей системы реальному риску. Пожалуйста — пишите нам на security@platius.ru — мы закроем «дыру», внесем вас в Hall of Fame, и не допустим, чтобы наши пользователи подверглись угрозе. К слову, статья с кодом эксплоита подпадает под действия статей 272, 33 и 34 УК РФ…
ПС: We’re hiring! Мы ищем новых коллег, которые готовы присоединиться к нашей команде. Сильные C# программисты и team leads — welcome!
Присылайте ваши резюме на job@platius.ru!
Проблема явно в том, что человек извне не может донести до ответственного за безопасность информацию об уязвимости.
Все сообщения о дырах в безопасности должны обрабатываться любым сотрудником компании. Элементарно взять контакты у заявившего об уязвимости и передать ответственному за безопасность.
Все сообщения о дырах в безопасности должны обрабатываться любым сотрудником компании. Элементарно взять контакты у заявившего об уязвимости и передать ответственному за безопасность.
Действительно, в 80% случаев можно получить полный игнор и наблюдать уязвимость годами. Иногда еще попадаются угрожающие типы, которым видимо не нравится что их ткнули лицом в их недочет или некомпетентность, и в угрозах они видят способ возвысить себя над нахалом с того конца Email. А чтобы по факту исправленной уязвимости еще и отписали, так это вообще редкий случай. Так что в данном аспекте респект ksukhonosenko.
Думаю подобные проблемы могут быть исправлены участием в багбаунти через платформы аля HackerOne. Все довольно открыто и прозрачно.
Думаю подобные проблемы могут быть исправлены участием в багбаунти через платформы аля HackerOne. Все довольно открыто и прозрачно.
бонусных рублей Platius
Скрытый текст
не публиковать в открытых источниках полный код exploit-аПочему? Ведь только благодаря этой публикации вы закрыли дыру. Значит публикация ваших эксплойтов — более эффективный способ их закрывать, чем обращение к вашим сотрудникам. И поэтому публикация и есть выражение заботы о ваших пользователях.
К слову, статья с кодом эксплоита подпадает под действия статей 272, 33 и 34 УК РФА вы шутник.
Ohar, добрый день!
Это не так. Честно.
Это не шутки. Это вполне серьезно. У меня есть разъяснения от нашей юридической фирмы по данному вопросу.
Но дело не в этом. Я хотел сказать, что если ты white hat — то не стоит забывать о древнем принципе «не навреди». А если black hat — то будь готов.
Ведь только благодаря этой публикации вы закрыли дыру.
Это не так. Честно.
А вы шутник.
Это не шутки. Это вполне серьезно. У меня есть разъяснения от нашей юридической фирмы по данному вопросу.
Но дело не в этом. Я хотел сказать, что если ты white hat — то не стоит забывать о древнем принципе «не навреди». А если black hat — то будь готов.
Вы не так меня поняли — я не угрожал. Я просто сказал, как такие вещи квалифицирует наш УК. К сведению.
Мы не собираемся преследовать никого по данному инциденту. Наоборот, мы благодарны Артему за найденную дыру.
Но, вместе с тем, мы хотим защитить наших пользователей от будущих проблем. Поэтому мы просим не публиковать полного кода эксплоита. Или делать это после того, как дыра закрыта. Мы можем договориться между собой сколько времени нужно на фикс, и после фикса писать в паблик.
Важно одно — данные пользователей должны быть защищены. А не наоборот. Потому что «наоборот» — это потенциальный ущерб для пользователей и нарушение закона.
Мы не собираемся преследовать никого по данному инциденту. Наоборот, мы благодарны Артему за найденную дыру.
Но, вместе с тем, мы хотим защитить наших пользователей от будущих проблем. Поэтому мы просим не публиковать полного кода эксплоита. Или делать это после того, как дыра закрыта. Мы можем договориться между собой сколько времени нужно на фикс, и после фикса писать в паблик.
Важно одно — данные пользователей должны быть защищены. А не наоборот. Потому что «наоборот» — это потенциальный ущерб для пользователей и нарушение закона.
Sign up to leave a comment.
Уязвимость в Platius: доступ в любой аккаунт