mr-pickles 22 янв в 12:15

Как я за один заход хакнул половину американских сетей фастфуда

3 мин

34K

Блог компании Wunder FundИнформационная безопасность*

Перевод

+24

Комментарии 16

lexore 22 янв в 14:10

Вы забыли указать, что это перевод чужой статьи. И забыли дать ссылку на оригинал.

+60

radtie 22 янв в 15:50

А вы забыли взять "забыли" в кавычки ;)

ajijiadduh 22 янв в 16:20

вот так делается: @moderator

Boomburum 22 янв в 16:59

Спасибо, я поправил :)

Aquahawk 22 янв в 16:25

как одним постом сформировать к себе отношение

freeExec 22 янв в 15:52

Что-то вся соль раскрыта как-то сумбурно:

у вас нет прав
но вы можете создать нового пользователя. чё?
создать нового пользователя не получится
созданный пользователь получит привилегии.

AndreyAf 22 янв в 16:32

статья не про хакера, статья про переводчика который прикидывается хакером!

iamkisly 23 янв в 01:16

У нас был сервер с базой, доступ на запись никому не давали, только readonly role. Потом выяснилось, что кто-то расширил права этой роли почти до dba.. только объекты в дереве скрыты

RationalBot 24 янв в 02:43

Там не написано, что нельзя создать нового пользователя, написано, что нельзя зарегистрировать его через сайт (firebase?). В оригинале статьи так же написано, т.ч. это не кривой перевод.

Могу предположить, что уязвимость была как раз в реализации мультитенанси. И с учётной для одной компании можно было получить доступ к чужим данным. И очень может быть, что учётку можно получить через покупку сервиса у Chattr.ai

izogfif 22 янв в 16:47

Кто-нибудь знающий, поясните, зачем на frontend'е вообще нужны ключи к базе? Разве frontend не должен связываться с backend'ом, чтобы уже тот, проверив все права доступа, связался с базой данных? Просто статья выглядит как "разработчики ошиблись и положили private key от TLS-сертификата, которым nginx или Apache пользуется для установления HTTPS-подключения, в папку со скриптами и прочим CSS".

Tsimur_S 22 янв в 17:24

Кто-нибудь знающий, поясните, зачем на frontend'е вообще нужны ключи к базе? Разве frontend не должен связываться с backend'ом, чтобы уже тот, проверив все права доступа, связался с базой данных?

Полагаю что инновационный AI стартап буквально воспринял слово serverless .

+11

Wesha 22 янв в 20:19

Полагаю что инновационный AI стартап буквально воспринял слово serverless .

Каков народ — таковы и ~~депутаты~~ AI!

-4

shasoftX 22 янв в 17:40

И не просто положили в папку, но и аккуратно сделали ссылку на этот файл.

Spiritschaser 22 янв в 19:31

В принципе, можно сделать нормальный serverless с "бэкэндом" в firebase, особенно, если это порт приложения на web. Но осторожно. В сабже это сделали неосторожно.

lexore 22 янв в 20:03

А зачем ходить через бекенд, когда можно напрямую? :-) Firebase - это тоже, кхм, бекенд.

Spiritschaser 22 янв в 19:28

Если взять из JS-бандла данные для подключения к Firebase
созданию нового пользователя ... получить полные привилегии (чтение/запись)

Нормально у них там права настроены!

Зарегистрируйтесь на Хабре, чтобы оставить комментарий