Как стать автором
Обновить

Комментарии 31

Сбербанк, говорите?..
Вы намекаете, что это не баг, а фича?
это СберБаг
Скорее фирменный стиль
Карты у них подвязываются через paymentgate.ru
После таких статей понимаешь, что оплата всегда должна быть через отдельную специальную карту…
Попробовал перебрать, что то не получается… видимо пофиксили уже
Ну не совсем пофиксили… просто отключили вход. Вообще.
Скрытый текст

Использовать 4-6 значные коды практически всегда плохая идея — всегда кого то да взломают после долгого брута. Берите хотя бы 9 цифр.
На мой взгляд ненормально позволять вводить неверный код более 5 раз. Далее надо требовать запрос нового кода, причем позволять это делать допустим раз в 10 минут. Ну и ввести временную блокировку аккаунта допустим при 15 подряд идущих неверных вводах.
А 9 цифр — это очень ударяет по удобству для юзера.
Это сделает брутофорс дольше, но для 4-6 цифр и для тысячи аккаунтов, вероятность что кого то взломает все равно остается высока. А полностью блокировать аккаунт не получится. Значит надо увеличивать длинну кода чтобы сделать брут на порядки сложнее и бесмысленней
Дык, можно в разные аккаунты ломиться. Вероятность угадывания когда остаётся той же. Нужно после скольких-то попыток IP банить, тогда поможет.
Найти тысячи дешевых разных айпи не проблема. Как и капча.
Ну, если код 9-ти значный, то без ipv6 уже не найдёте. А если IP не банить — в конце концов сбрутят.
я про 4-6 значные коды. 9 это уже неплохо
Использовать пароль (тем более получаемый по СМС) для аутентификации в сервис работающий с деньгами вообще плохая идея.
Так и запишем, если нужен бесплатный пентестинг, пригласить fryday на интервью.
Вопрос к автору, не совсем очевидно для чего дважды друг за другом tac?

$ curl 'https://platius.ru/ru-RU/Login/PasswordStep' --data 'Login=%2B7xxxxxxxxxx&Password={}' -kis | head -n 1
HTTP/1.1 200 OK
$ curl 'https://platius.ru/ru-RU/Login/PasswordStep' --data 'Login=%2B7xxxxxxxxxx&Password={}' -kis | tac | tac | head -n 1
HTTP/1.1 200 OK


Может какой скрытый смысл есть два раза переворачивать stdin?
Это такой хак, который позволяет не получить от curl следующую ошибку:
$ curl 'https://platius.ru/ru-RU/Login/PasswordStep' --data 'Login=%2B7xxxxxxxxxx&Password={}' -kis | head -n 1
HTTP/1.1 200 OK
(23) Failed writing body


Дело в том, что head закрывает pipe до того, как curl запишет туда страницу полностью. Если знаете более элегантный путь, отпишите пожалуйста.
Хм, у меня не воспроизводится. Завсегда нормально отдает и head кажет все без ошибок.

З.Ы. Погуглил ваш случай, действительно, workaround двойным tac'ом :)
а какой-нибудь «2>/dev/null» не поможет?
Скорее «поможет», так как только скроет ошибку, но не решит ее причины.
Ребята, привет!

Меня зовут Кирилл Сухоносенко — я технический директор Platius.

От лица компании Platius я хочу сказать следующее:

  • Во-первых, спасибо Артему за найденную уязвимость!
  • Во-вторых, мы ее закрыли.
  • В-третьих, мы сожалеем, что такая проблема проскочила через наше тестирование.
  • В-четвертых, насколько мы знаем, этой дырой в безопасности не успели воспользоваться злоумышленники. И мы приняли меры, чтобы они не смогли ей воспользоваться впредь.
  • В-пятых, мы думаем, что стоит объявить награду за ошибки, подобной этой. Поэтому мы готовы начислить 10 000 бонусных рублей Platius на указанный Артемом счет, которые он сможет потратить в отличном месте — Цурцум-кафе — www.facebook.com/zurzum
  • В-шестых, мы думаем открыть программу bug bounty — опубликуем условия, как только решим как это лучше организовать.
  • В-седьмых, мы просим community бережнее относиться к нашим пользователям, и не публиковать в открытых источниках полный код exploit-а. Не стоит подвергать пользователей системы реальному риску. Пожалуйста — пишите нам на security@platius.ru — мы закроем «дыру», внесем вас в Hall of Fame, и не допустим, чтобы наши пользователи подверглись угрозе. К слову, статья с кодом эксплоита подпадает под действия статей 272, 33 и 34 УК РФ…


ПС: We’re hiring! Мы ищем новых коллег, которые готовы присоединиться к нашей команде. Сильные C# программисты и team leads — welcome!
Присылайте ваши резюме на job@platius.ru!
Проблема явно в том, что человек извне не может донести до ответственного за безопасность информацию об уязвимости.
Все сообщения о дырах в безопасности должны обрабатываться любым сотрудником компании. Элементарно взять контакты у заявившего об уязвимости и передать ответственному за безопасность.
Действительно, в 80% случаев можно получить полный игнор и наблюдать уязвимость годами. Иногда еще попадаются угрожающие типы, которым видимо не нравится что их ткнули лицом в их недочет или некомпетентность, и в угрозах они видят способ возвысить себя над нахалом с того конца Email. А чтобы по факту исправленной уязвимости еще и отписали, так это вообще редкий случай. Так что в данном аспекте респект ksukhonosenko.

Думаю подобные проблемы могут быть исправлены участием в багбаунти через платформы аля HackerOne. Все довольно открыто и прозрачно.
бонусных рублей Platius
Скрытый текст

не публиковать в открытых источниках полный код exploit-а
Почему? Ведь только благодаря этой публикации вы закрыли дыру. Значит публикация ваших эксплойтов — более эффективный способ их закрывать, чем обращение к вашим сотрудникам. И поэтому публикация и есть выражение заботы о ваших пользователях.

К слову, статья с кодом эксплоита подпадает под действия статей 272, 33 и 34 УК РФ
А вы шутник.
Ohar, добрый день!

Ведь только благодаря этой публикации вы закрыли дыру.

Это не так. Честно.

А вы шутник.

Это не шутки. Это вполне серьезно. У меня есть разъяснения от нашей юридической фирмы по данному вопросу.
Но дело не в этом. Я хотел сказать, что если ты white hat — то не стоит забывать о древнем принципе «не навреди». А если black hat — то будь готов.

Это не так. Честно.

Очень хорошо, если это так.
И то, что вы ведёте диалог и хотите вводить баунти-программу — тоже отлично.

Но угрожать уголовным кодексом человеку, который в меру своих сил стремится сделать ваш сервис лучше, несмотря на разгильдяйство некоторых ваших сотрудников — моветон.
Вы не так меня поняли — я не угрожал. Я просто сказал, как такие вещи квалифицирует наш УК. К сведению.

Мы не собираемся преследовать никого по данному инциденту. Наоборот, мы благодарны Артему за найденную дыру.

Но, вместе с тем, мы хотим защитить наших пользователей от будущих проблем. Поэтому мы просим не публиковать полного кода эксплоита. Или делать это после того, как дыра закрыта. Мы можем договориться между собой сколько времени нужно на фикс, и после фикса писать в паблик.

Важно одно — данные пользователей должны быть защищены. А не наоборот. Потому что «наоборот» — это потенциальный ущерб для пользователей и нарушение закона.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации