Всякие веб и мобильные банкинги всегда очень интересны. Жаль что сделать это легально практически невозможно. 5 лет назад мне довелось поковыряться в клиенте своего банка под старушку WinCE 6. Через 10 минут мне позвонили и поинтересовались странной активностью с моего аккаунта. Пронесло. А у Вас такое исследование. Интересно.
Пример я Вам не покажу по неразглашению. Уточню детали.
Изучив сеть я сразу получил пароли от корпоративной почты. Использовался The bat! по родным 25/110 портам. Но заинтересовало меня, что-то знакомое по порту 5000.
Оказалось, что это сервер Synology RS10613xs+. В нем был вход по SSL, но они заходили просто через 5000 порт. Подцепив сессию я получил доступ. На сервере хранились документы, крутилось пару внутренних порталов и видео сервер с управлением камерами. Все их было ~15 штук и все они были с управлением и и зуммированием.
Приведу цитату с оф. сайта:
Управление Surveillance Station – невероятно легкое и интуитивное. Surveillance Station предлагает набор инструментов для управления камерами, оптимизации настройки, развертывания и обслуживания системы. При помощи Surveillance Station камеры могут быть с легкостью внедрены в среду, где требуется широкомасштабное развертывание.
Шоколад с вареньем, а не система! Да и при отсутствии управления камерой, все равно можно было бы попробовать.
Мораль истории — внутри корпоративной сети надо жесточайшэ заставлять пользоваться SSL.
Расскажу об еще одной интересной уязвимости. У заказчика есть видео сервер наблюдения с HD видео… если внимательно посмотреть на экран и клавиатуру, то видно как набирается логин и пароль. Обожаю HD видео :)
Настали чудесные времена! Мой оператор позволяет использовать 2 симки на 1 номер одновременно. Гарнитура plantronics поддерживает multipoint(2 аппарата одновременно). В результате смартфон я бывает забываю дома. Всем гикам рекомендую!
Согласен. Мы меньше работаем с разными цветами. Например если бы Вы выбирали лаки 10 лет, то выучили бы с 10-20 названий новых цветов. Вот если сделать такую же табличку с марками машин, получилось бы все наоборот.
Изучив сеть я сразу получил пароли от корпоративной почты. Использовался The bat! по родным 25/110 портам. Но заинтересовало меня, что-то знакомое по порту 5000.
Оказалось, что это сервер Synology RS10613xs+. В нем был вход по SSL, но они заходили просто через 5000 порт. Подцепив сессию я получил доступ. На сервере хранились документы, крутилось пару внутренних порталов и видео сервер с управлением камерами. Все их было ~15 штук и все они были с управлением и и зуммированием.
Приведу цитату с оф. сайта:
Управление Surveillance Station – невероятно легкое и интуитивное. Surveillance Station предлагает набор инструментов для управления камерами, оптимизации настройки, развертывания и обслуживания системы. При помощи Surveillance Station камеры могут быть с легкостью внедрены в среду, где требуется широкомасштабное развертывание.
Шоколад с вареньем, а не система! Да и при отсутствии управления камерой, все равно можно было бы попробовать.
Мораль истории — внутри корпоративной сети надо жесточайшэ заставлять пользоваться SSL.
Очень интересные часы.
Чтобы она не пила из ведра, когда моет полы!
Возможно в скором будущем все позабудут чистый JS и будут знакомится с ним только для общего развития. Мне кажется, это нормально.