Комментарии 13
НЛО прилетело и опубликовало эту надпись здесь
Несмотря на то, что, возможно, автор просто пробежался сканером по сайту и выложил это как статью тут, у меня возникает вопрос. А что у мегафона нет денег на такой сканер, чтобы найти такие ляпы и не позориться? Или отделу безопасности совсем лень? Про предварительное тестирование на такие вещи видимо не стоит и заикаться.
Это ручная работа
Суть моего комментария немного в другом.
Я думаю сканер должен был такое отловить, если бы им пользовались как надо. И Ваша работа бы не пригодилась.
Я думаю сканер должен был такое отловить, если бы им пользовались как надо. И Ваша работа бы не пригодилась.
«А как этот сканер запустить? И что это такое?» Думаю, скорее, у Мегафона нет денег на специалиста, знающего про сканер (или про XSS, что ещё печальнее). Теперь благодаря таким письмам они поднимают скилл.
Я понимаю опасность XSS на публичном форуме: оставил инъекцию в комментарии, своём нике или подписи, и другие пользователи получают её. Но как эксплуатировать XSS на сайтах типа «личный кабинет»? Только сам атакующий видит свои закладки на страницах, и больше никто. Особенно интересно — XSS в параметрах фильтров каталога товаров, как их использовать?
несколько шагов:
1. берёмснифер
2. Пишем js скрипт маскируем под картинку
3. Отсылаем в поддержку магаза мол у вас xss с этой картинкой
4. Получаем сессию
5. Подставляем куки сессии в наш браузер
6. Заходим в админку
и тут несколько вариантов
7.a покупаем что нибудь и ставим ордер как оплаченый
7.b выставляем скидку на товар и покупаем
7.c льём шелл и получаем доступ к серверу.
1. берёмснифер
2. Пишем js скрипт маскируем под картинку
3. Отсылаем в поддержку магаза мол у вас xss с этой картинкой
4. Получаем сессию
5. Подставляем куки сессии в наш браузер
6. Заходим в админку
и тут несколько вариантов
7.a покупаем что нибудь и ставим ордер как оплаченый
7.b выставляем скидку на товар и покупаем
7.c льём шелл и получаем доступ к серверу.
Есть только пара НО.
1) Надеемся что сессия не привязанна к IP
2) Стоят не http-only куки.
1) Надеемся что сессия не привязанна к IP
2) Стоят не http-only куки.
2. Пишем js скрипт маскируем под картинку
Сейчас публичные сервисы (gmail, mail.ru) копируют картинку себе и не оставляют в письме ссылки на внешний ресурс. Корпоративный outlook по умолчанию блокирует подгрузку снаружи. Т.е. картинка должна появиться при переходе по внешней ссылке, что настораживает (если это не инстаграм или fastpic.ru).
Ну и главное — я думаю, у поддержки нет авторизации в админке сайта. Зачем это специалистам первой линии?
И еще какое-то время назад пароль в личном кабинете можно было делать только из цифр.
так что я бы не стал особо доверять мегафону свои деньги, информацию и личные данные — как минимум так как нет редиректа с http на https в магазине Мегафон
ОМГ, теперь придется отказаться от покупок и на ebay.com, и на apple.com, и на zappos.com, и на ozon.ru, и на mvideo.ru… Кошмар!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Информационая безопасность в сфере телекома на примере Megafon'а