Хабр такой хабр… Прошу прощения, если это не так, но заголовки уж больно совпали. Ссылку скинул в качестве дополнения, а не как обвинение.
Но чья-то «гордость», видимо, всё-таки ущемлена, раз поставлен минус))
Вы задали вопрос — я ответил. А Вы, выходит, оставили косвенные ссылки на сайт, хотя владельцам обещали не делать этого. Причём разрешения не дождались.
Да не хочется мне ничего доводить =) Я говорю о том, что это незаконно, и стоило подождать исправления подольше, если уж взялись помогать. Если б тесты проводились локально на своём стенде, то это был бы просто баян (кому-то интересный, тем не менее), а так это бравирование незаконным сливом БД интернет-магазина.
Не хочу затягивать дискуссию, просто регулярно вижу на хабре хекеров, которые включили акунетикс или сунули кавычки, взломали какой-нибудь сайт/магазин/банк и спешат всем рассказать об этом, смакуя каждый шаг, хотя все эти техники и так по 100 раз описаны в куче источников, т.е. суть не в новизне материала, а в том, что взломан какой-то сайт.
При этом обычно в плохом свете выставляются владельцы сайта, которые хекеру почему-то чем-то обязаны, хотя он нарушил закон =)
Нет, «спортивный интерес» — это решение сложной задачи, например, но не в лоб слить базу шопа и рассказывать всем об этом на хабре.
В общем, мне нечего больше добавить. Понятное дело, что даже суд по этому поводу вряд ли будет, но это не отменяет того, что это незаконно, не этично и не ново.
Про спортивный интерес.
Вы слили базу с логинами и паролями пользователей интернет-магазина, после чего описали процесс взлома (не представляющий ничего технически нового) в публичном пространстве для самопиара, не дождавшись исправлений, а теперь говорите про спортивный интерес.
«Прокурору расскажете».
Не надо лукавить, Вы совершили преступление, за который предусмотрен тюремный срок, а спустя всего 2 недели написали эту банальную заметку про тривиальную эксплуатацию уязвимости.
Проделывали подобные махинации по поиску настоящего адреса при проведении нагрузочного тестирования.
Добавлю, что настоящие диапазоны можно получить ещё из общедоступной whois-базы по имени компании. Вот, к примеру, ежедневно обновляемый снапшот базы RIPE: ftp.ripe.net/ripe/dbase.
Также, помимо писем, адрес могут спалить, к примеру, сценарии загрузки аватары или другого файла с удалённого адреса (привет, SSRF).
Да, но у ботов вроде бы никто больше не стянул деньги %) Про вас MSLC почему-то говорили, что вы тоже заспуфили.
Ну, значит, были ещё те, кто расковырял саму задачу =)
Вернуть обратно не получилось, наверное, из-за DoS'а. ARP-спуфинг добавил нестабильности, и половина пакетов просто не долетала. Возможно, иногда частично возвращались какие-то суммы, но их снова переводили назад руками.
Поскольку во время соревнования MSLC сказали, что используют SSRF, я думал, что бесполезно что-либо предпринимать и даже не выходил из аккаунта и не делал целевые атаки по айдишнику.
Собственно, предполагаемые уязвимости в самом сервисе эксплуатировала по сути только команда RDot в моём лице =)
А у неё деньги были похищены при помощи банального ARP-спуфинга, т.е. атаки на инфраструктуру, а не на само задание (систему ДБО).
Как выяснилось, из-за большой нагрузки в результате многопоточных атак циска перешла в режим хаба, и спуфинг стал возможным. Я не предполагал такой вариант, и возможности провести XSS не было, поэтому и не защищал свои куки, а SSL на веб-сервере не было.
Единственная атака, которую мы не успели осилить за ночь, — это «взаимодействие с тестовым сценарием, использовавшимся для контроля работоспособности API backend (обход проверок доступа, чтение произвольных файлов)».
получится заменить?
Именно, в большинстве CMS установочный скрипт нужно удалять, но в Wordpress -- нет =)
Но чья-то «гордость», видимо, всё-таки ущемлена, раз поставлен минус))
blog.deteact.com/ru/common-flaws-of-sms-auth
blog.deteact.com/common-flaws-of-sms-auth
Не хочу затягивать дискуссию, просто регулярно вижу на хабре хекеров, которые включили акунетикс или сунули кавычки, взломали какой-нибудь сайт/магазин/банк и спешат всем рассказать об этом, смакуя каждый шаг, хотя все эти техники и так по 100 раз описаны в куче источников, т.е. суть не в новизне материала, а в том, что взломан какой-то сайт.
При этом обычно в плохом свете выставляются владельцы сайта, которые хекеру почему-то чем-то обязаны, хотя он нарушил закон =)
В общем, мне нечего больше добавить. Понятное дело, что даже суд по этому поводу вряд ли будет, но это не отменяет того, что это незаконно, не этично и не ново.
Вы слили базу с логинами и паролями пользователей интернет-магазина, после чего описали процесс взлома (не представляющий ничего технически нового) в публичном пространстве для самопиара, не дождавшись исправлений, а теперь говорите про спортивный интерес.
«Прокурору расскажете».
Добавлю, что настоящие диапазоны можно получить ещё из общедоступной whois-базы по имени компании. Вот, к примеру, ежедневно обновляемый снапшот базы RIPE: ftp.ripe.net/ripe/dbase.
Также, помимо писем, адрес могут спалить, к примеру, сценарии загрузки аватары или другого файла с удалённого адреса (привет, SSRF).
Ну, значит, были ещё те, кто расковырял саму задачу =)
Вернуть обратно не получилось, наверное, из-за DoS'а. ARP-спуфинг добавил нестабильности, и половина пакетов просто не долетала. Возможно, иногда частично возвращались какие-то суммы, но их снова переводили назад руками.
Поскольку во время соревнования MSLC сказали, что используют SSRF, я думал, что бесполезно что-либо предпринимать и даже не выходил из аккаунта и не делал целевые атаки по айдишнику.
А у неё деньги были похищены при помощи банального ARP-спуфинга, т.е. атаки на инфраструктуру, а не на само задание (систему ДБО).
Как выяснилось, из-за большой нагрузки в результате многопоточных атак циска перешла в режим хаба, и спуфинг стал возможным. Я не предполагал такой вариант, и возможности провести XSS не было, поэтому и не защищал свои куки, а SSL на веб-сервере не было.
Единственная атака, которую мы не успели осилить за ночь, — это «взаимодействие с тестовым сценарием, использовавшимся для контроля работоспособности API backend (обход проверок доступа, чтение произвольных файлов)».