Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 93
2. Уязвимость на nag.ru
Давным давно, решил я проверить nag.ru на прочность. К моему нескончаемому огорчению были найдены банальные мисконфиги на поддомене форума. А именно был выставлен во внешку тестовый стенд с новой версией форума и со стандартным паролем админа. Самое ужасное, было в том, что все поддомены запущены от имени одного юзера, и получив админ доступ к тестовому форуму — я получил доступ к файлам всех поддоменов. Все сообщения администрации nag.ru не получили ответов. Толи письма улетели в спам, толи не читают их. В любом случае сейчас эта дырка закрыта.
Итог: Дырка закрыта. Администрация проигнорировала все письма.
Их почта хостится на google. И google регулярно помещает мои письма для них в спам. А на многоадресные ящики типа support at nag.ru сразу прилетает отбой, что я подозрителен и письмо они от меня принимать не будут.
Мда… Итого параллелс единственный адекват из списка.
На самом деле еще туроператор достойно отреагировал. В денежном эквиваленте — это вышло около 2000 долларов скидка. Правда размер проблемы у них был колоссальный.
В денежном эквиваленте — это вышло около 2000 долларов скидка
Реально это копейки в сравнении с тем, какими бы были их потери в случае утечки информации. Вы себя недооцениваете.
> 3 моих письма просто проигнорировали. Когда я прислал скриншот из их оракла — мне наконец-то ответили.
Если это для вас «достойно» то завидую вашему самообладанию!
Если это для вас «достойно» то завидую вашему самообладанию!
2 лицензии, которые самому параллелс ничего не стоят? вы сейчас серьезно?
Не сказали даже «спасибо».
Неблагодарное дело… Хорошими делами прославиться нельзя (с).
У меня была аналогичная ситуация и не раз. Одно из последних — дырка в АльфаКлик. Бывало и похуже, но не с поиском дыр.
С другой стороны оно и понятно. Вот сидят люди на зарплате. Им то, в большинстве случаев, пофиг на контору. Скорее бы день до вечера досидеть. А тут появляется Вася и пишет какой он молодец нашел дыру. То есть добавляет им работы и косвенно указывает на непрофессионализм. Рассматривают вас как врага их спокойствия.
> Им то, в большинстве случаев, пофиг на контору. Скорее бы день до вечера досидеть. А тут появляется Вася и пишет какой он молодец нашел дыру
Такой подход практикуется сугубо в рашко-компаниях. Любой буржуйский сайт скажет какой вы молодец и подарит футболочку и оперативно все исправит.
Такой подход практикуется сугубо в рашко-компаниях. Любой буржуйский сайт скажет какой вы молодец и подарит футболочку и оперативно все исправит.
Любой буржуйский сайт скажет какой вы молодец и подарит футболочку и оперативно все исправитРекомендую ознакомиться с книгой «Искусство вторжения», там масса живых примеров историй, в том числе, когда такого же, как автор поста, энтузиаста-добродетеля едва ли за решетку не посадили за то, что он безвозмездно искал уязвимости и оперативно пытался рассказать о них владельцам сайтов или компаний. Получил пачку исков.
Нет, ну разумеется не *любой* а более менее приличный сайт/стартап. Чудаки везде есть
И как отличить? Правильно — никак, пока не сообщишь и не получишь либо «спасибо»/вознаграждение, либо иск и преследование. Ничем буржуйские конторы от наших в этом смысле не отличаются.
Отличить просто. Без всяких проверок я знаю что mailru/yandex/rambler будут фиксить уязвимость не один месяц а скорее всего проигнорят, в то время как facebook/google/yahoo закроют в тот же день.
Так как отличить то?
Отличить можно, если почитать правила пользования сервисом или интернет-сайтом. Сам натыкался на формулировки типа «Bumping is not allowed». Т.е. исследование(если точнее, то взлом с любой целью) сайта явно запрещают в любом виде.
Такое есть лишь на малом количестве ресурсов.
А если речь не про сайт, а про периметр какой-то корпоративной сети? Вот наткнулся я на уязвимый/плохо настроенный FTP или роутер? Молчать? Писать, но бояться? Писать и не бояться, а потом получить иск/преследование? Или джек-пот?
А если речь не про сайт, а про периметр какой-то корпоративной сети? Вот наткнулся я на уязвимый/плохо настроенный FTP или роутер? Молчать? Писать, но бояться? Писать и не бояться, а потом получить иск/преследование? Или джек-пот?
Про то и речь, если компания русская с русским подходом — лучше забить и не писать. Если выглядит адекватной — то писать острожно.
С точки зрения работника крупной международной компании с корпортивной сетью — случайно наткнуться на уязвимый ftp или роутер практически невозможно, если вам не давали официальной возможности ими пользоваться.
Если разрешение было, то тут всё просто — информируете об обнаруженной ошибке, исков быть не должно.
Если официального разрешения на использование не давалось, то нужно изучать законодательство страны, в которой находится территориально данная сеть или зарегистрирована компания. Но обычно в законе данные «исследования» запрещены законодательно и классифицируются как взлом. Потому что случайно наткнуться на, к примеру, ftp.depname.subdomain.megasupersite.com ну просто невозможно. :) С учетом, что depname и subdomain не всегда понятные и удобочитаемые людям, никак не связанным с этой компанией. Или вы совсем случайно сканировали определенный диапазон ip-адресов по 22 порту и нашли уязвимый роутер? :) А в случае получения веб-морды вместо сайта можно и написать — случайно же получилось.
Так что давайте исходить из того, что пентест делается сознательно. В данном случае необходимо исходить из законодательства — разрешено/запрещено. И если писать — то понимать, что вы можете быть привлечены к ответственности на усмотрение владельца сервиса/сети/ресурса.
Если вы вводили верные данные (т.е. в поле имя вводили имя, а не писали sql запрос) и получили ошибку сервиса — писать стоит с приложением скриншота.
Если разрешение было, то тут всё просто — информируете об обнаруженной ошибке, исков быть не должно.
Если официального разрешения на использование не давалось, то нужно изучать законодательство страны, в которой находится территориально данная сеть или зарегистрирована компания. Но обычно в законе данные «исследования» запрещены законодательно и классифицируются как взлом. Потому что случайно наткнуться на, к примеру, ftp.depname.subdomain.megasupersite.com ну просто невозможно. :) С учетом, что depname и subdomain не всегда понятные и удобочитаемые людям, никак не связанным с этой компанией. Или вы совсем случайно сканировали определенный диапазон ip-адресов по 22 порту и нашли уязвимый роутер? :) А в случае получения веб-морды вместо сайта можно и написать — случайно же получилось.
Так что давайте исходить из того, что пентест делается сознательно. В данном случае необходимо исходить из законодательства — разрешено/запрещено. И если писать — то понимать, что вы можете быть привлечены к ответственности на усмотрение владельца сервиса/сети/ресурса.
Если вы вводили верные данные (т.е. в поле имя вводили имя, а не писали sql запрос) и получили ошибку сервиса — писать стоит с приложением скриншота.
Ну наконец-то более-менее адекватный взгляд.
Но тем не менее, могу и случайно. Например, просматривая логи фаервола или ips увижу подозрительные запросы от каких-то адресов, тыкнусь в них — увижу, что там дырявый ftp и кто-то его уже «поимел», поставив туда утилиты для дальнейшего использования в злонамеренных целях.
Ну и как быть мне? Забанить айпишник и молчать «моя хата с краю»? Или проявить благородство, сообщить ребятам о проблеме? Рискуя быть обвиненным во взломе и установке того зловредного ПО?
Но тем не менее, могу и случайно. Например, просматривая логи фаервола или ips увижу подозрительные запросы от каких-то адресов, тыкнусь в них — увижу, что там дырявый ftp и кто-то его уже «поимел», поставив туда утилиты для дальнейшего использования в злонамеренных целях.
Ну и как быть мне? Забанить айпишник и молчать «моя хата с краю»? Или проявить благородство, сообщить ребятам о проблеме? Рискуя быть обвиненным во взломе и установке того зловредного ПО?
И опять вернемся к здравой логике (да, в нашей стране (Россия) и законодательстве её мало, но всё же использовать возможно). В таком случае пишите в поддержку приложив логи с вашего фаервола или от провайдера с подозрительными запросами, в рамках исследования которых Вы и обнаружили проблему, таким образом появляется волшебное объяснение откуда вы узнали про данный ресурс и проблему.
А для того что бы на вас повесить взлом и установку того зловредного ПО в логах должен быть ваш IP. :) А он будет по дате и времени позже, чем подозрительные запросы в ваших логах, таким образом Вас ещё надо умудриться подтянуть, т.к. к примеру, в нашей стране действует презумпция невиновности и это уже вторая сторона должна будет доказать что именно Выжираф взломали и установили вредоносное ПО.
А для того что бы на вас повесить взлом и установку того зловредного ПО в логах должен быть ваш IP. :) А он будет по дате и времени позже, чем подозрительные запросы в ваших логах, таким образом Вас ещё надо умудриться подтянуть, т.к. к примеру, в нашей стране действует презумпция невиновности и это уже вторая сторона должна будет доказать что именно Вы
Звучит логично, но не работает почти никогда. Как минимум, будут старательно пытаться притянуть, затаскав по судам. Пусть и в итоге (допустим, хотя по статистике 9 из 10 вердиктов в РФ — обвинительные) и оправдают, не найдя вины. Но вот нахрена это нужно белой/серой шляпе? Проявлять благородство в обмен на шанс быть оправданным, хаха. I'm not buying this.
У меня немного другой взгляд на это.
1. Поверьте в нашей стране логи не нужны никому в суде. Если какой-то стороне будет нужно вас осудить — то логи будут подтверждать обвинение. В конце концов — это всего лишь txt файл. И самое «вкусное» только в конечных логах ресурса, а вовсе не у провайдера.
2. Существует 2 типа ошибок.
1) Мелкие, при этом никаких плохих действий выполнено быть не может.
2) Крупные. Которые приводят например к утечки базы всех клиентов сервиса.
А теперь подумаем логично. С первым типом — заводить дело на вас — не имеет почти никакого смысла. Себе дороже. А со-вторым обычно получается выбор сложнее: либо повесить на вас взлом, и публично признаться, что вероятно вся информация о пользователях была слита. А это ущерб репутации, потеря клиентов, и потенциальные иски от пользователей. Либо замять вопрос, решим его с вами и закрыв уязвимость.
Да бывают исключения, но никто ж не предлагает тестировать банковский сектор, или мелкие НЕ IT компании. Там можно напороться на все что угодно.
1. Поверьте в нашей стране логи не нужны никому в суде. Если какой-то стороне будет нужно вас осудить — то логи будут подтверждать обвинение. В конце концов — это всего лишь txt файл. И самое «вкусное» только в конечных логах ресурса, а вовсе не у провайдера.
2. Существует 2 типа ошибок.
1) Мелкие, при этом никаких плохих действий выполнено быть не может.
2) Крупные. Которые приводят например к утечки базы всех клиентов сервиса.
А теперь подумаем логично. С первым типом — заводить дело на вас — не имеет почти никакого смысла. Себе дороже. А со-вторым обычно получается выбор сложнее: либо повесить на вас взлом, и публично признаться, что вероятно вся информация о пользователях была слита. А это ущерб репутации, потеря клиентов, и потенциальные иски от пользователей. Либо замять вопрос, решим его с вами и закрыв уязвимость.
Да бывают исключения, но никто ж не предлагает тестировать банковский сектор, или мелкие НЕ IT компании. Там можно напороться на все что угодно.
А если в качестве доказательства «белости и пушистости» привести ссылки на свои профили в соц. сетях, из которых видно, что ваш ник в течение последних нескольких лет действительно "-1 UNION SELECT password FROM admin/*"?
Был у меня случай — я работал в одной компании, и официально имел доступ к определенной информационной системе. Почти случайно получил дамп своей магнитной карты, и за три минуты вскрыл систему авторизации к системе которая отвечает за денежку.
Сообщил по вертикали о ФАКТЕ уязвимости. Алгоритм не описывал.
Считаю своей ошибкой что действовал «по уставу», а не через головы сразу к хозяевам.
В результате возможно кто-то что-то накрутил по дороге, с одной стороны вызвали разработчиков, которые меня поблагодарили, мы все обсудили, посмеялись с части уязвимостей типа «солонка в столовой», придумали как закрыть то что важно, и разошлись. Начальство же отругало меня и… запретили мне подходить к компьютерам.
Смысла в таком запрете я так и не понял учитывая что реально контролировать факт исполнения этого запрета мог только я сам. Ну и одного из хозяев (того балбеса что запретил) я хоть и не близко но знал лично, и у нас было много знакомых. Помню я тогда разозлился жутко, но так и не напакостил. Что с дураков возьмешь…
Ну а вообще на практике обычно принято об уязвимостях сообщать с контактов которые невозможно связать с собой, и уже при хорошей реакции деанонимизироваться.
Сообщил по вертикали о ФАКТЕ уязвимости. Алгоритм не описывал.
Считаю своей ошибкой что действовал «по уставу», а не через головы сразу к хозяевам.
В результате возможно кто-то что-то накрутил по дороге, с одной стороны вызвали разработчиков, которые меня поблагодарили, мы все обсудили, посмеялись с части уязвимостей типа «солонка в столовой», придумали как закрыть то что важно, и разошлись. Начальство же отругало меня и… запретили мне подходить к компьютерам.
Смысла в таком запрете я так и не понял учитывая что реально контролировать факт исполнения этого запрета мог только я сам. Ну и одного из хозяев (того балбеса что запретил) я хоть и не близко но знал лично, и у нас было много знакомых. Помню я тогда разозлился жутко, но так и не напакостил. Что с дураков возьмешь…
Ну а вообще на практике обычно принято об уязвимостях сообщать с контактов которые невозможно связать с собой, и уже при хорошей реакции деанонимизироваться.
По написанным в предыдущем комментарии доменам.
>. Уязвимость все также была на сайте. После этого я написал в личные сообщения администрации mail.ru на форуме aa.mail.ru. На что мне ответили о том, что надо было писать в тех. поддержку конкретно их игры, а не всего mail.ru.
А теперь самое интересное. В мыле нет поддержки конкретной игры. Они в целях экономии слили поддержку всех игр в одну кучу и посадили там мальчиков-даунов которые на твое сообщение «Уважаемая техническая поддержка, в игре XXX при использовании драйвера для видеокарт nvidia версии NNN.MM мигают бафы под полоской с хитами/маной. На версии NNN.TT такой проблемы не наблюдается. Весь форум игры завален жалобами на эти мигающие бафы, пожалуйста выложите официальную новость, что нужно либо обновить драйвер, либо откатить, но не использовать версию NNN.MM и тогда проблемы не будет» отвечают «ЧО? Компьютер перезагрузите». На большее они не способны.
Вообще, в случае с игровыми проектами Mail.Ru при нахождении дыр нужно стучаться в ЛС КМу данного проекта, он быстро пинет кого нужно и все закроют. Они так в упомянутом мной проекте XXX дважды на сайт выкладывали флешки с CSRF позволявшей навредить игроку залогиненому на сайте игры и прошедшему мимо твоей ссылки. Дважды добрые люди быстро находили и пинали КМа напрямую, что бы он сообщил уже кому следует. (А, да, если что этот добрый человек находивший был не я, не-не-не, точно не я)
А теперь самое интересное. В мыле нет поддержки конкретной игры. Они в целях экономии слили поддержку всех игр в одну кучу и посадили там мальчиков-даунов которые на твое сообщение «Уважаемая техническая поддержка, в игре XXX при использовании драйвера для видеокарт nvidia версии NNN.MM мигают бафы под полоской с хитами/маной. На версии NNN.TT такой проблемы не наблюдается. Весь форум игры завален жалобами на эти мигающие бафы, пожалуйста выложите официальную новость, что нужно либо обновить драйвер, либо откатить, но не использовать версию NNN.MM и тогда проблемы не будет» отвечают «ЧО? Компьютер перезагрузите». На большее они не способны.
Вообще, в случае с игровыми проектами Mail.Ru при нахождении дыр нужно стучаться в ЛС КМу данного проекта, он быстро пинет кого нужно и все закроют. Они так в упомянутом мной проекте XXX дважды на сайт выкладывали флешки с CSRF позволявшей навредить игроку залогиненому на сайте игры и прошедшему мимо твоей ссылки. Дважды добрые люди быстро находили и пинали КМа напрямую, что бы он сообщил уже кому следует. (А, да, если что этот добрый человек находивший был не я, не-не-не, точно не я)
Я тут нашёл дыру в безопаности у locum.ru, которой уязвимы все их сервера. Из-за этой дыры можно положить все сайты, использующие unicorn. Как только нашёл и проверил, что работает — сразу сообщил им.
Итог — штраф за то, что положил сайты на N минут + за работу сотрудников по перезапуску unicorn'a.
Пришлось заплатить и уйти от них… А жаль… Был 3 года их клиентов + 10 активных рефералов.
Итог — штраф за то, что положил сайты на N минут + за работу сотрудников по перезапуску unicorn'a.
Пришлось заплатить и уйти от них… А жаль… Был 3 года их клиентов + 10 активных рефералов.
Во времена диалапа один мой знакомый (не ТМ, действительно не я) нашел уязвимости у крупного прова. Скинул им списочек дыр, и предложил провести нормальный пентест за символическую сумму (даже по тем временам за такую работу 200 баксов это мало). В ответ ребята решили его деанонимизировать. Мол хакера поймали… Клоуны. На деньги вырученные с продажи тех дыр которые он нашел потом (честно ничего не припрятывал, всё что знал отдал бесплатно) а также от недозакрытых ими вещей чувак купил себе квартиру. :)
Так он продал уязвимости или отдал бесплатно?
А кто купил эти уязвимости за такие деньги? Ну то есть ладно, уязвимость в платежной системе или онлайн-банкинге, они вполне могут стоить квартиры, но тут всего лишь провайдер, хоть и крупный.
Уязвимости не продавались.
Это было то время когда диалаповый месячный безлимит стоил как зарплата низкооплачиваемых работников. Недвижимость тогда тоже еще не была перегрета. Ну и провайдер был всеукраинский. Человек в розницу продавал интернет сильно дешевле его стоимости. За год на квартирку и накопил :)
Это было то время когда диалаповый месячный безлимит стоил как зарплата низкооплачиваемых работников. Недвижимость тогда тоже еще не была перегрета. Ну и провайдер был всеукраинский. Человек в розницу продавал интернет сильно дешевле его стоимости. За год на квартирку и накопил :)
locum.ru вообще славятся тупизной в этом плане и отмазками, почти аналогичный случай, когда у них были глючные настройки серверов, залочили аккаунт, обвинив простейшее Redmine приложение в вирусе. Разобрались позднее, но осадочек остался.
>Итог — штраф
WAT?!
WAT?!
Добрый день!
Готов ответить за Mail.Ru.
Во-первых, я прошу прощения за отсутствие быстрого ответа вам. Мы обязательно разберёмся с тем что произошло, и по какой причине вам не ответили оперативно.
Во-вторых, спасибо :)
В-третьих, ваш тикет конечно же дошёл до нужных людей(продуктовая безопасность) в этот понедельник. Пруф: i.imgur.com/YEI7sN1.png После чего баг был быстро отрепорчен разработчикам, с указанием отписаться автору бага(чего не произошло :().
Я прошу вас связаться со мной, по адресу: d.sidorov@corp.mail.ru для обсуждения reward.
Готов ответить за Mail.Ru.
Во-первых, я прошу прощения за отсутствие быстрого ответа вам. Мы обязательно разберёмся с тем что произошло, и по какой причине вам не ответили оперативно.
Во-вторых, спасибо :)
В-третьих, ваш тикет конечно же дошёл до нужных людей(продуктовая безопасность) в этот понедельник. Пруф: i.imgur.com/YEI7sN1.png После чего баг был быстро отрепорчен разработчикам, с указанием отписаться автору бага(чего не произошло :().
Я прошу вас связаться со мной, по адресу: d.sidorov@corp.mail.ru для обсуждения reward.
Как ни крути, опять поднялись в моих глазах.
Что ж с mail.ru такое? Вроде ж не продавались никому? ))
Что ж с mail.ru такое? Вроде ж не продавались никому? ))
> Как ни крути, опять поднялись в моих глазах.
А в моих нет, как закрывали раньше уже упавшие сервисы на «профилактику», так и продолжают. Либо мейл не знает значения слова «профилактика», либо нагло обманывает своих пользователей.
Так и тут, из новости следует что они сами закрыли сервис для дополнительной интеграции с игрой а не, хотя бы, «в связи с техническими проблемами».
А в моих нет, как закрывали раньше уже упавшие сервисы на «профилактику», так и продолжают. Либо мейл не знает значения слова «профилактика», либо нагло обманывает своих пользователей.
Так и тут, из новости следует что они сами закрыли сервис для дополнительной интеграции с игрой а не, хотя бы, «в связи с техническими проблемами».
Я же не говорю про абсолютную величину подъема, но относительно старого mail.ru прогресс есть, и заметный. Когда годами не затыкали дыры в том же «мире», о которых чуть в Хакере писали на всю страну — тогда явно было хуже.
Здесь и пообещали разобраться, и даже что-то внятное ответили, и, глядишь, еще автора на чашу чая пригласят (впрочем, не знаю структуру, потому не уверен) ))
Здесь и пообещали разобраться, и даже что-то внятное ответили, и, глядишь, еще автора на чашу чая пригласят (впрочем, не знаю структуру, потому не уверен) ))
Поднимутся они, когда будут реагировать не здесь, а у себя. Вести себя хорошо только под давлением (публикация здесь в данном случае) — не делает чести.
Списались. Договорились о взаимовыгодных условиях. Спасибо.
Готов ответить за Mail.Ru.
Посмотрела ваши комментарии.
В прошлом году вы про mail.ru совершенно иначе отзывались.
За это время у вас сменилась точка зрения?
Ну тогда еще не было вакансий :)
Определённо сменилась точка зрения.
Мало того, сейчас за эту точку зрения отвечаем я и моя команда :) И у нас есть непреодолимое желание и умения именно в этом месте сделать всё хорошо.
Мало того, сейчас за эту точку зрения отвечаем я и моя команда :) И у нас есть непреодолимое желание и умения именно в этом месте сделать всё хорошо.
Вот и хорошо. Если хотите, значит, сделаете. Удачи вам :)
Странно это, конечно же. С начала писать про точку зрения, ЗАМЕЧУ, заранее зная про то, что данный человек начал работать в компании, а после успешно подтверждать его слова, ОПЯТЬ ЖЕ, заранее зная, что он ответит.
Вообщем, странно ;)
Вообщем, странно ;)
заранее зная про то, что данный человек начал работать в компанииОткуда же я могла об этом заранее знать? В профиле место работы не указано. Разумеется, не много найдётся желающих отвечать за mail.ru, не работая там, но мало ли…
Ответ мне понравился. Хороший и искренний ответ.
И да, я не работаю на mail.ru.
Тот пост просто божественен. После такого грех не нанять.
Неужели все исправили, invented? А баунти когда появится?
Неужели все исправили, invented? А баунти когда появится?
>Как было сказано чуть выше, для пользователя есть способы защиты и от этих ошибок, но с определенными сайд-эффектами которые надо понимать. В частности, привязка сессии к IP адресу (есть в настройках безопасности) помогает во многих случаях защититься от воровства кук. Установка плагинов типа NotScript/NoJS во многих случах (в частности в Вашем примере) спасает от XSS.
Они что, правда сказали что пользователи должны ставить NoScript чтобы защищиться от мейловых XSS? Платиновый ответ. Забыли посоветовать компьютер перезагрузить. три раза
Они что, правда сказали что пользователи должны ставить NoScript чтобы защищиться от мейловых XSS? Платиновый ответ. Забыли посоветовать компьютер перезагрузить. три раза
Баунти сейчас как раз прорабатывается(а-ля тестируется), по факту репорта :)
Плюс, отрабатываются схемы оплаты, сроков и прочего. Потому что поминая Яндекс, я предполагаю наличие проблем в этом месте :) Как и проблемы, связанные с тысячами репортов об отсутствии SSL от индусов, или проблем связанных с кастомными репортами(которые вообще нереально прочитать без боли в глазах).
Вобщем, уже немного осталось, и я думаю у нас будет нормальное продуманное баунти с манжонгом и гейшами. Правда, распространяться баунти будет только на обойденные аудитами и тестированием безопасности проекты компании. Игры, к сожалению, к ним пока не относятся :(
Плюс, отрабатываются схемы оплаты, сроков и прочего. Потому что поминая Яндекс, я предполагаю наличие проблем в этом месте :) Как и проблемы, связанные с тысячами репортов об отсутствии SSL от индусов, или проблем связанных с кастомными репортами(которые вообще нереально прочитать без боли в глазах).
Вобщем, уже немного осталось, и я думаю у нас будет нормальное продуманное баунти с манжонгом и гейшами. Правда, распространяться баунти будет только на обойденные аудитами и тестированием безопасности проекты компании. Игры, к сожалению, к ним пока не относятся :(
Было бы здорово, если бы вы написали статью с разбором распространенных банальных ошибок в конфигах.
Если интересно — напишу. Правда надо сперва посмотреть наберется ли примеров на достаточный объем. Обычно ошибки все однотипные.
Было бы интересно в форме гайда, какие утилиты используются в ходе работы, как настроить среду для проведения исследований, как проводить само исследование, типовые примеры, конкретный пример. В таком виде и полезно и объем достаточный.
Кхм. Это вы предлагаете MrGrey рассказать нам, как потенциально спереть кучу пользовательских данных крупного туроператора? Давайте не будем называть это «исследованиями», а?
И если уж рассказывать, то без инструкций
И если уж рассказывать, то без инструкций
Как-то пытался заказать товар в интернет магазине почтовой службы одной из европейских стран, но постоянно выдавало ошибку и не удавалось завершить оформление заказа. Написал пару раз в суппорт – ответа не дождался. Поковырялся в системе и нашел дыру в системе с полным доступом к файлам. Зашел, исправил ошибку в коде магазина, оформил свой заказ, вернул ошибку на место и опять отписался суппорту уже с готовым решением и описанием я как получил доступ к их системе. Ошибку до сих пор не исправили, но заказанный товар прислали.
Лет 5 назад держал ВПС-ку у одного крупного хостинга. При очередном пополнении баланса был из процессинга перенаправлен на страничку super-hosting.xx/index.php?id_client=12345&add_balans=500, через пару минут мой баланс на хостинге превышал годовой бюджет РФ. Написал 3 безответных письма. Отчаявшись позвонил, поинтересовался можно ли вернуть ошибочно совершённый платёж… Не «вернули», не поблагодарили, ещё и судом угрожали.
Так вот оно какое на самом деле, это «самообслуживание»!..
ваш пост сделал мой вечер, спасибо.
Круто, азартно, красиво. Вы молодец! Однако пентест, который еще называется внешним аудитом информационной системы, проводится только с разрешения руководства компании. Иначе подсудно. А тут дети статьи читают.
Кстати, может есть кто из штатов, внешним аудитором? Обрисовать правовое поле в двух словах, в России-то всяко можно, а как у вас, при развитой прецедентной правовой системе, пентестом любительствовать?
Кстати, может есть кто из штатов, внешним аудитором? Обрисовать правовое поле в двух словах, в России-то всяко можно, а как у вас, при развитой прецедентной правовой системе, пентестом любительствовать?
А в итоге с работой-то в "*Газ" чем закончилось?
Как же забавно наблюдать «ответы» русских говносайтов/говнокомпаний. Я с самого начала зарекся искать/помогать рунет компаниям потому что отношение просто отвратительное.
Как видите одил лишь parallels дал хоть что то вместо «спасибо». Итог — русские сайты надо либо нещадно ломать и сливать данные, либо игнорировать. Вайтхэтством лучше заниматься на других прекрасных адекватных сайтах, будь то facebook или google.
Как видите одил лишь parallels дал хоть что то вместо «спасибо». Итог — русские сайты надо либо нещадно ломать и сливать данные, либо игнорировать. Вайтхэтством лучше заниматься на других прекрасных адекватных сайтах, будь то facebook или google.
у меня другой вопрос.
Вот предположим я владелец небольшого сайтика, который мне важен.
Труда в него было вложено много, но я уверен, что он «дырявый», так как использует распространенный движок, например Joomla.
Сам я исследовать и починить не могу в виду не компетентности в этой области.
Нанять человека? Как?
Если я некомпетентен, то как я узнаю, что тот, кого нанимаю компетентен?
Более того, как я после его работы узнаю, что он «все починил»?
У меня нет способа проверить качество его работы и вообще как проверить, что он хоть что-то сделал.
Либо нужно нанимать двоих независимых экспертов…
Вот предположим я владелец небольшого сайтика, который мне важен.
Труда в него было вложено много, но я уверен, что он «дырявый», так как использует распространенный движок, например Joomla.
Сам я исследовать и починить не могу в виду не компетентности в этой области.
Нанять человека? Как?
Если я некомпетентен, то как я узнаю, что тот, кого нанимаю компетентен?
Более того, как я после его работы узнаю, что он «все починил»?
У меня нет способа проверить качество его работы и вообще как проверить, что он хоть что-то сделал.
Либо нужно нанимать двоих независимых экспертов…
В случае с распространённым движком, будет достаточно если эксперт просто посоветует вам обновляться почаще, либо заюзать какой-нибудь софт для аудита стандартных движков. Например как WPScan какой-нибудь для Wordpress.
Это естественно, при условии что вы сами дальше исследовать и починить не сможете.
Что же до аудита, например, вашего софта, то чинить всё таки будете вы а не он :)
Его дело лишь отрепортить баги, причем как можно более комплексно и полно, а ваше дело — вникнуть в баги, зафиксить их, и самое главное понять, есть ли ещё аналогичные в других местах проекта.
Это естественно, при условии что вы сами дальше исследовать и починить не сможете.
Что же до аудита, например, вашего софта, то чинить всё таки будете вы а не он :)
Его дело лишь отрепортить баги, причем как можно более комплексно и полно, а ваше дело — вникнуть в баги, зафиксить их, и самое главное понять, есть ли ещё аналогичные в других местах проекта.
а какой мой софт — у меня своего нет — движок то стандартный!
Обновляться — это да, я понимаю и обновляюсь и все равно иной раз вижу, что хакеры исправляют некоторые страницы или пытаются положить в мою файловую систему какой нибудь файл с расширением jpg а внутри php.
Обновляться — это да, я понимаю и обновляюсь и все равно иной раз вижу, что хакеры исправляют некоторые страницы или пытаются положить в мою файловую систему какой нибудь файл с расширением jpg а внутри php.
Ну у вас там скорее всего Joomla + плагины.
Векторов атак не так много:
1) Сама джумла. Просто обновляйтесь.
2) Её плагины. Тут вам как раз таки должен помочь какой-нибудь спец. joomla сканер плагинов на наличие багов в безопасности. Ну или просто ручками отсматривайте апдейты плагинов, и не ставьте сомнительные.
3) Ваш хостинг. В случае шаред хостинга, например. вполне реально походить по контенту сайтов «соседей». Поэтому лучше VPS взять.
4) Ваш личный комп, откуда можно ваш пароль угнать малварью. Тут понятно думаю что делать.
Может ребята в комментах что ещё подскажут )
Векторов атак не так много:
1) Сама джумла. Просто обновляйтесь.
2) Её плагины. Тут вам как раз таки должен помочь какой-нибудь спец. joomla сканер плагинов на наличие багов в безопасности. Ну или просто ручками отсматривайте апдейты плагинов, и не ставьте сомнительные.
3) Ваш хостинг. В случае шаред хостинга, например. вполне реально походить по контенту сайтов «соседей». Поэтому лучше VPS взять.
4) Ваш личный комп, откуда можно ваш пароль угнать малварью. Тут понятно думаю что делать.
Может ребята в комментах что ещё подскажут )
С такими, как kremlin.ru, советую поступать следующим образом. Немного продолжить исследование, выяснить, кому же отдали на аутсорс лакомый кусок, и называть в публикации их имена.
Оперсорсом за «спасибо» заниматься — это я понимаю. А коммерсам — «утром деньги, вечером репорты». От этого зависит их бизнес…
Ох, смело!) На kremlin.ru то) Сам писал в русские компании. Разные компании. И большие и не очень большие. И понял, что профита с этого в общем случае — ноль. Теперь пишу только:
— по заказу — за деньги
— по знакомству — когда понимаю, что могу получить с этого рекомендации в узких кругах
— и в Bug bounty — та ещё олимпиада заплатят/не заплатят, но тоже скорее прибыльно, чем нет.
А писал я много куда:
— автодилеру — ни ответа, ни привета — исправили
— крупному банку — за спасибо, правда от вице-президента)
— крупному разработчику ПО — за спасибо
— эквайрингу какому-то — ни ответа, ни привета — исправили.
и так далее и тому подобное.
Писать в свою юрисдикцию с такими сумрачными перспективами — нет уж, нет уж.
— по заказу — за деньги
— по знакомству — когда понимаю, что могу получить с этого рекомендации в узких кругах
— и в Bug bounty — та ещё олимпиада заплатят/не заплатят, но тоже скорее прибыльно, чем нет.
А писал я много куда:
— автодилеру — ни ответа, ни привета — исправили
— крупному банку — за спасибо, правда от вице-президента)
— крупному разработчику ПО — за спасибо
— эквайрингу какому-то — ни ответа, ни привета — исправили.
и так далее и тому подобное.
Писать в свою юрисдикцию с такими сумрачными перспективами — нет уж, нет уж.
Я тоже провёл хардварный пентест и нашёл уязвимость у одного из местных провайдеров. Не очень серьёзную (в результате применения без интернета остаётся всего один многоквартирный дом), но тоже было любопытно наблюдать реакцию.
А ситуация, на самом деле, неприятная.
«Хардварность» заключается в том, что они внаглую подключили своё оборудование к моему электросчётчику. Вроде и тырят немного (20 ватт круглосуточно), но, блин, плачу-то за них я!
Уязвимость применяется с помощью кусачек.
А реакция — никакая. В смысле, на вежливое письмо в их адрес («пожалуйста, ликвидируйте врезку!») ответа не последовало.
На «применение уязвимости» нарисовался мальчик, который переподключил врезку к другому счётчику (теперь тырят у соседей).
Что с этим поделать — не знаю…
А ситуация, на самом деле, неприятная.
«Хардварность» заключается в том, что они внаглую подключили своё оборудование к моему электросчётчику. Вроде и тырят немного (20 ватт круглосуточно), но, блин, плачу-то за них я!
Уязвимость применяется с помощью кусачек.
А реакция — никакая. В смысле, на вежливое письмо в их адрес («пожалуйста, ликвидируйте врезку!») ответа не последовало.
На «применение уязвимости» нарисовался мальчик, который переподключил врезку к другому счётчику (теперь тырят у соседей).
Что с этим поделать — не знаю…
Эх, мне такие умения кажутся таки-ими очаровательными)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Реакция разных компаний на уязвимости их ресурсов