Пользователь
0,0
рейтинг
19 февраля 2014 в 20:39

Разработка → Реакция разных компаний на уязвимости их ресурсов из песочницы

В данном посте я решил немного рассказать о своих исследованиях в области IT безопасности.
Некоторые компании не будут названы в статье, чтобы не портить «имидж».

Ресурсы в которых были найдены уязвимости: aa.mail.ru, nag.ru, graph.document.kremlin.ru, sencha.com, parallels.com, volgogsm.ru, next-one.ru, а также туроператор X, и одна из дочерних организаций Газпрома.

Достаточно давно уже увлекаюсь проведением исследований безопасности разных ресурсов. Большинство из них мне приходилось использовать самому и было интересно узнать в сохранности ли мои данные.

1. Уязвимость на aa.mail.ru


Как наверное всем известно — компания mail.ru запустила игру ArcheAge. Не будем тут вдаваться в обсуждение хорошо ли это, и насколько успешен был запуск. На сайте aa.mail.ru был доступен сервис регистрации и поиска гильдий. Уязвимость самая банальная — sql инъекция в get запросе поиска. И хотя используются фильтры запросов, которые банят IP, например, при post/get запросе «union select», можно было их обойти и получить вывод данных из других таблиц сайта.

Сразу после обнаружения я написал на ящики support@corp.mail.ru и security@corp.mail.ru. Однако даже спустя сутки на мои письма не было никакого ответа, кроме автоматического номера тикета в их системе. Уязвимость все также была на сайте. После этого я написал в личные сообщения администрации mail.ru на форуме aa.mail.ru. На что мне ответили о том, что надо было писать в тех. поддержку конкретно их игры, а не всего mail.ru. И отправили писать тикет туда. Ну хорошо, написал. Тикет числился «в работе» еще сутки, при этом сервис гильдий даже не был закрыт. И вот вчера — наконец-то его закрыли. Причем формулировка закрытия забавная aa.mail.ru/news/309936.html. А теперь главное — мой тикет все также висит «в работе».

Итог: Дырка закрыта. Не сказали даже «спасибо».

UPD Договорились о взаимовыгодных условиях из комментариев ниже.

2. Уязвимость на nag.ru


Давным давно, решил я проверить nag.ru на прочность. К моему нескончаемому огорчению были найдены банальные мисконфиги на поддомене форума. А именно был выставлен во внешку тестовый стенд с новой версией форума и со стандартным паролем админа. Самое ужасное, было в том, что все поддомены запущены от имени одного юзера, и получив админ доступ к тестовому форуму — я получил доступ к файлам всех поддоменов. Все сообщения администрации nag.ru не получили ответов. Толи письма улетели в спам, толи не читают их. В любом случае сейчас эта дырка закрыта.

Итог: Дырка закрыта. Администрация проигнорировала все письма.

3. Уязвимость в graph.document.kremlin.ru


Опять же банальный мисконфиг. Была доступна админка без пароля. В админке можно было менять текст указов, писать новые + техническая информация о системе.

Итог: На мое письмо также не ответили, однако дырка была закрыта в течение суток.

4. Уязвимость на sencha.com


Также банальный случай пофигизма администрации. Оставили дырявую версию vbulletin на 3 месяца, после того как появились публичные эксплоиты.
Самое печальное, что данный ресурс используют очень много тех. специалистов крупных компаний, и пароли там хранились в открытом виде.

Итог: Письма проигнорированы, уязвимость исправлена спустя долгий срок.

5. Уязвимость на parallels.com


Опять же мисконфиги были найдены на демо стендах продукта parallels plesk panel. Сама панель никаких уязвимостей не имела. И сразу надо заметить стенд стоит на виртуальной машине, которая автоматически раз в несколько часов возвращается к исходному состоянию. Но в демо версии не ввели достаточно ограничений на возможности панели. В итоге на windows сервере был получен rdp доступ с администраторскими правами. Что странно на сервере был интернет, и доступна для записи папка на управляющем сервере.
Мной было отправлено письмо и почти сразу получен ответ. После беседы в скайпе были предложены варианты, как ограничить демо панель.

Итог: Уязвимость исправлена частично. В качестве премии были выданы 2 лицензии на продукт parallels desktop.

6. Уязвимость на volgogsm.ru


Это сайт одного из бывших филиалов Смартс, а ныне Ростелекома. Также мисконфиг, в виде не закрытой папки phpmyadmin, и пароля в базу root:root
Все это позволяло получить доступ к билингу, т.к. имелся еще целый ряд ошибок в настройках прав доступа в ОС.

Итог: Уязвимость исправлена за «спасибо».

7. Уязвимость на next-one.ru


Это сайт одного из региональных операторов интернета. В ходе исследования их личного кабинета, была найдена sql инъекция в post запросе проверки пин-кодов карт оплаты. В результате хитрого написания запроса — получилось посимвольно просматривать любые значения в базе. Как оказалось все пароли пользователей хранятся в открытом виде.

Итог: Пришлось 2 раза звонить. Первый раз попав на первую линию тех. поддержки получил ответ «Да мне все равно. Если у вас работает интернет — то до свидания». На второй звонок получилось пробраться до тех. отдела. Уязвимость исправили за «спасибо».

8. Уязвимость на «Туроператор X»


Чтобы не повредить имидж компании, данная история не будет содержать названий или ссылок на компанию.
Все началось с того, что решил я воспользоваться их услугами. И т.к. туроператору доверяются все паспортные данные — мне было интересно проверить их на прочность. Как оказалось сайт сделанный на яве — имеет такое количество ошибок, что просто страшно представить. Многие страницы при заведомо не верных входных данных — сорили стек трейсами, с раскрытием путей. На tomcat не была закрыта папка web-inf, которая позволила получить все адреса сервлетов. Мало того там же был логин и пароль от базы оркала. Рядом валялась тестовая директория с мусором и открытым индексом файлов. Среди мусора была найдена даже учетка админа с паролем к сайту. Но апогей был в другом. На соседнем хосте, предназначенном для трансляции видео с разных курортов — был обнаружен не закрытый менеджер оракла, к которому подошли пароли, найденные в web-inf. В итоге был получен полный доступ в базу клиентов, сканам документов, платежным ведомостям и т.д.
Т.к. это один из крупнейших туроператоров РФ — в срочном порядке были попытки связаться с администрацией. 3 моих письма просто проигнорировали. Когда я прислал скриншот из их оракла — мне наконец-то ответили.

Итог: большая часть уязвимостей была устранена. Доступ к базе был закрыт. Мне сделали скидку более 80% на мой тур.

9. Уязвимость на дочерней организации Газпрома — для краткости назовем ее организация "*Газ"


В один прекрасный день мне позвонили и предложили работу в области IT безопасности в "*Газ". Правда узнав, что я не проживаю в Москве — несколько расстроились. Однако сказав, что меня им рекомендовали, как хорошего специалиста (кто рекомендовал так и не понял) предложили заочно протестировать их ресурсы на прочность.
В результате анализа был найден очередной мисконфиг на фтп сервере. Которой позволял анонимно подключатся. На данном фтп были найдены свежие бекапы 1c, зарплатные ведомости, персональные данные сотрудников, свежие бекапы конфигов разных систем с паролями внутри.

Итог: Уязвимость быстро закрыта с получением рекомендаций.

Заключение


Помимо случаев приведенных в статье — есть еще масса случаев, о которых меня настоятельно просили не писать. Однако по своему опыту могу сказать — что осознание важности IT безопасности почти у всех компаний — отсутствует (не берем в зачет крупнейших интернет гигантов). Некоторые даже негативно реагируют на предоставление им информации. А вас, как IT специалистов разных направлений — призываю всегда помнить: верное разграничение прав доступу и внимательная работа с конфигами — это 50% защиты ресурса.
@MrGrey
карма
34,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (93)

  • +2
    2. Уязвимость на nag.ru

    Давным давно, решил я проверить nag.ru на прочность. К моему нескончаемому огорчению были найдены банальные мисконфиги на поддомене форума. А именно был выставлен во внешку тестовый стенд с новой версией форума и со стандартным паролем админа. Самое ужасное, было в том, что все поддомены запущены от имени одного юзера, и получив админ доступ к тестовому форуму — я получил доступ к файлам всех поддоменов. Все сообщения администрации nag.ru не получили ответов. Толи письма улетели в спам, толи не читают их. В любом случае сейчас эта дырка закрыта.

    Итог: Дырка закрыта. Администрация проигнорировала все письма.


    Их почта хостится на google. И google регулярно помещает мои письма для них в спам. А на многоадресные ящики типа support at nag.ru сразу прилетает отбой, что я подозрителен и письмо они от меня принимать не будут.
  • +7
    Мда… Итого параллелс единственный адекват из списка.
    • +16
      На самом деле еще туроператор достойно отреагировал. В денежном эквиваленте — это вышло около 2000 долларов скидка. Правда размер проблемы у них был колоссальный.
      • +1
        В денежном эквиваленте — это вышло около 2000 долларов скидка

        Реально это копейки в сравнении с тем, какими бы были их потери в случае утечки информации. Вы себя недооцениваете.
        • +31
          Я это представляю ) Но вымогательством тоже заниматься не планирую. Также как и черным пентестом.
        • +3
          Но все же это адекватная благодарность, а не «спасибо» или молчание.
      • 0
        > 3 моих письма просто проигнорировали. Когда я прислал скриншот из их оракла — мне наконец-то ответили.

        Если это для вас «достойно» то завидую вашему самообладанию!
        • 0
          Не знаю, что писал автор, но при использовании расплывчатых формулировок — могли и забить, т.к. не приняли всерьёз. Так что, автор просто достаточно адекватен.
    • +2
      2 лицензии, которые самому параллелс ничего не стоят? вы сейчас серьезно?
      • 0
        С одной стороны недополученная прибыль, с другой стороны человеку который не планировал покупать паралелс это и даром не надо.
        • +3
          Ну на самом деле мне были нужны эти 2 лицензии. И я бы их приобрел. Поэтому вознаграждение было согласовано.
  • +16
    Не сказали даже «спасибо».

    Неблагодарное дело… Хорошими делами прославиться нельзя (с).

    У меня была аналогичная ситуация и не раз. Одно из последних — дырка в АльфаКлик. Бывало и похуже, но не с поиском дыр.

    С другой стороны оно и понятно. Вот сидят люди на зарплате. Им то, в большинстве случаев, пофиг на контору. Скорее бы день до вечера досидеть. А тут появляется Вася и пишет какой он молодец нашел дыру. То есть добавляет им работы и косвенно указывает на непрофессионализм. Рассматривают вас как врага их спокойствия.
    • –4
      > Им то, в большинстве случаев, пофиг на контору. Скорее бы день до вечера досидеть. А тут появляется Вася и пишет какой он молодец нашел дыру

      Такой подход практикуется сугубо в рашко-компаниях. Любой буржуйский сайт скажет какой вы молодец и подарит футболочку и оперативно все исправит.
      • +10
        Любой буржуйский сайт скажет какой вы молодец и подарит футболочку и оперативно все исправит
        Рекомендую ознакомиться с книгой «Искусство вторжения», там масса живых примеров историй, в том числе, когда такого же, как автор поста, энтузиаста-добродетеля едва ли за решетку не посадили за то, что он безвозмездно искал уязвимости и оперативно пытался рассказать о них владельцам сайтов или компаний. Получил пачку исков.
        • –3
          Нет, ну разумеется не *любой* а более менее приличный сайт/стартап. Чудаки везде есть
          • +3
            И как отличить? Правильно — никак, пока не сообщишь и не получишь либо «спасибо»/вознаграждение, либо иск и преследование. Ничем буржуйские конторы от наших в этом смысле не отличаются.
            • –3
              Отличить просто. Без всяких проверок я знаю что mailru/yandex/rambler будут фиксить уязвимость не один месяц а скорее всего проигнорят, в то время как facebook/google/yahoo закроют в тот же день.
              • +1
                Так как отличить то?
                • 0
                  Отличить можно, если почитать правила пользования сервисом или интернет-сайтом. Сам натыкался на формулировки типа «Bumping is not allowed». Т.е. исследование(если точнее, то взлом с любой целью) сайта явно запрещают в любом виде.
                  • 0
                    Такое есть лишь на малом количестве ресурсов.
                    А если речь не про сайт, а про периметр какой-то корпоративной сети? Вот наткнулся я на уязвимый/плохо настроенный FTP или роутер? Молчать? Писать, но бояться? Писать и не бояться, а потом получить иск/преследование? Или джек-пот?
                    • –4
                      Про то и речь, если компания русская с русским подходом — лучше забить и не писать. Если выглядит адекватной — то писать острожно.
                      • +2
                        Что такое «русский подход»? Это какое-то уникальное явление?
                    • 0
                      С точки зрения работника крупной международной компании с корпортивной сетью — случайно наткнуться на уязвимый ftp или роутер практически невозможно, если вам не давали официальной возможности ими пользоваться.
                      Если разрешение было, то тут всё просто — информируете об обнаруженной ошибке, исков быть не должно.
                      Если официального разрешения на использование не давалось, то нужно изучать законодательство страны, в которой находится территориально данная сеть или зарегистрирована компания. Но обычно в законе данные «исследования» запрещены законодательно и классифицируются как взлом. Потому что случайно наткнуться на, к примеру, ftp.depname.subdomain.megasupersite.com ну просто невозможно. :) С учетом, что depname и subdomain не всегда понятные и удобочитаемые людям, никак не связанным с этой компанией. Или вы совсем случайно сканировали определенный диапазон ip-адресов по 22 порту и нашли уязвимый роутер? :) А в случае получения веб-морды вместо сайта можно и написать — случайно же получилось.

                      Так что давайте исходить из того, что пентест делается сознательно. В данном случае необходимо исходить из законодательства — разрешено/запрещено. И если писать — то понимать, что вы можете быть привлечены к ответственности на усмотрение владельца сервиса/сети/ресурса.

                      Если вы вводили верные данные (т.е. в поле имя вводили имя, а не писали sql запрос) и получили ошибку сервиса — писать стоит с приложением скриншота.
                      • 0
                        Ну наконец-то более-менее адекватный взгляд.
                        Но тем не менее, могу и случайно. Например, просматривая логи фаервола или ips увижу подозрительные запросы от каких-то адресов, тыкнусь в них — увижу, что там дырявый ftp и кто-то его уже «поимел», поставив туда утилиты для дальнейшего использования в злонамеренных целях.
                        Ну и как быть мне? Забанить айпишник и молчать «моя хата с краю»? Или проявить благородство, сообщить ребятам о проблеме? Рискуя быть обвиненным во взломе и установке того зловредного ПО?
                        • 0
                          И опять вернемся к здравой логике (да, в нашей стране (Россия) и законодательстве её мало, но всё же использовать возможно). В таком случае пишите в поддержку приложив логи с вашего фаервола или от провайдера с подозрительными запросами, в рамках исследования которых Вы и обнаружили проблему, таким образом появляется волшебное объяснение откуда вы узнали про данный ресурс и проблему.

                          А для того что бы на вас повесить взлом и установку того зловредного ПО в логах должен быть ваш IP. :) А он будет по дате и времени позже, чем подозрительные запросы в ваших логах, таким образом Вас ещё надо умудриться подтянуть, т.к. к примеру, в нашей стране действует презумпция невиновности и это уже вторая сторона должна будет доказать что именно Вы жираф взломали и установили вредоносное ПО.
                          • 0
                            Звучит логично, но не работает почти никогда. Как минимум, будут старательно пытаться притянуть, затаскав по судам. Пусть и в итоге (допустим, хотя по статистике 9 из 10 вердиктов в РФ — обвинительные) и оправдают, не найдя вины. Но вот нахрена это нужно белой/серой шляпе? Проявлять благородство в обмен на шанс быть оправданным, хаха. I'm not buying this.
                          • +1
                            У меня немного другой взгляд на это.
                            1. Поверьте в нашей стране логи не нужны никому в суде. Если какой-то стороне будет нужно вас осудить — то логи будут подтверждать обвинение. В конце концов — это всего лишь txt файл. И самое «вкусное» только в конечных логах ресурса, а вовсе не у провайдера.
                            2. Существует 2 типа ошибок.
                            1) Мелкие, при этом никаких плохих действий выполнено быть не может.
                            2) Крупные. Которые приводят например к утечки базы всех клиентов сервиса.
                            А теперь подумаем логично. С первым типом — заводить дело на вас — не имеет почти никакого смысла. Себе дороже. А со-вторым обычно получается выбор сложнее: либо повесить на вас взлом, и публично признаться, что вероятно вся информация о пользователях была слита. А это ущерб репутации, потеря клиентов, и потенциальные иски от пользователей. Либо замять вопрос, решим его с вами и закрыв уязвимость.
                            Да бывают исключения, но никто ж не предлагает тестировать банковский сектор, или мелкие НЕ IT компании. Там можно напороться на все что угодно.
                      • 0
                        А если в качестве доказательства «белости и пушистости» привести ссылки на свои профили в соц. сетях, из которых видно, что ваш ник в течение последних нескольких лет действительно "-1 UNION SELECT password FROM admin/*"?
                      • 0
                        Был у меня случай — я работал в одной компании, и официально имел доступ к определенной информационной системе. Почти случайно получил дамп своей магнитной карты, и за три минуты вскрыл систему авторизации к системе которая отвечает за денежку.
                        Сообщил по вертикали о ФАКТЕ уязвимости. Алгоритм не описывал.
                        Считаю своей ошибкой что действовал «по уставу», а не через головы сразу к хозяевам.
                        В результате возможно кто-то что-то накрутил по дороге, с одной стороны вызвали разработчиков, которые меня поблагодарили, мы все обсудили, посмеялись с части уязвимостей типа «солонка в столовой», придумали как закрыть то что важно, и разошлись. Начальство же отругало меня и… запретили мне подходить к компьютерам.
                        Смысла в таком запрете я так и не понял учитывая что реально контролировать факт исполнения этого запрета мог только я сам. Ну и одного из хозяев (того балбеса что запретил) я хоть и не близко но знал лично, и у нас было много знакомых. Помню я тогда разозлился жутко, но так и не напакостил. Что с дураков возьмешь…

                        Ну а вообще на практике обычно принято об уязвимостях сообщать с контактов которые невозможно связать с собой, и уже при хорошей реакции деанонимизироваться.
                • 0
                  По написанным в предыдущем комментарии доменам.
                  • 0
                    Т.е. это исчерпывающий список? На чем он основан?
                    • 0
                      Здравый смысл
                      • 0
                        Здравый смысл отталкивается от конкретных фактов и доводов. Их я пока не вижу. Следовательно, никакого здравого смысла нет, а есть домыслы и допущения.
                        Повторю еще часть вопроса, которая была проигнорирована — это исчерпывающий список?
                        • –2
                          Факты и доводы — пост выше — 8 из 10 компаний отреагировало неадекватно. Плюс мой личный опыт (я работаю только с иностранными сайтами) где 10 из 10 реагируют адекватно. Делаем вывод — рунет в топку
                          • 0
                            Мда, здравый смысл так и хлещет. Понятие репрезентативности выборки тоже незнакомо, судя по всему.
  • +7
    >. Уязвимость все также была на сайте. После этого я написал в личные сообщения администрации mail.ru на форуме aa.mail.ru. На что мне ответили о том, что надо было писать в тех. поддержку конкретно их игры, а не всего mail.ru.

    А теперь самое интересное. В мыле нет поддержки конкретной игры. Они в целях экономии слили поддержку всех игр в одну кучу и посадили там мальчиков-даунов которые на твое сообщение «Уважаемая техническая поддержка, в игре XXX при использовании драйвера для видеокарт nvidia версии NNN.MM мигают бафы под полоской с хитами/маной. На версии NNN.TT такой проблемы не наблюдается. Весь форум игры завален жалобами на эти мигающие бафы, пожалуйста выложите официальную новость, что нужно либо обновить драйвер, либо откатить, но не использовать версию NNN.MM и тогда проблемы не будет» отвечают «ЧО? Компьютер перезагрузите». На большее они не способны.

    Вообще, в случае с игровыми проектами Mail.Ru при нахождении дыр нужно стучаться в ЛС КМу данного проекта, он быстро пинет кого нужно и все закроют. Они так в упомянутом мной проекте XXX дважды на сайт выкладывали флешки с CSRF позволявшей навредить игроку залогиненому на сайте игры и прошедшему мимо твоей ссылки. Дважды добрые люди быстро находили и пинали КМа напрямую, что бы он сообщил уже кому следует. (А, да, если что этот добрый человек находивший был не я, не-не-не, точно не я)
    • +1
      Так как раз и пнул КМа на форуме. Который заявил, что я не туда написал тикет сперва. И отправил писать в сапорт игры, без выяснения подробностей, однако с предложением «пнуть кого надо» после указания номера тикета в «нужной» системе.
  • +17
    Я тут нашёл дыру в безопаности у locum.ru, которой уязвимы все их сервера. Из-за этой дыры можно положить все сайты, использующие unicorn. Как только нашёл и проверил, что работает — сразу сообщил им.
    Итог — штраф за то, что положил сайты на N минут + за работу сотрудников по перезапуску unicorn'a.
    Пришлось заплатить и уйти от них… А жаль… Был 3 года их клиентов + 10 активных рефералов.
    • +12
      Во времена диалапа один мой знакомый (не ТМ, действительно не я) нашел уязвимости у крупного прова. Скинул им списочек дыр, и предложил провести нормальный пентест за символическую сумму (даже по тем временам за такую работу 200 баксов это мало). В ответ ребята решили его деанонимизировать. Мол хакера поймали… Клоуны. На деньги вырученные с продажи тех дыр которые он нашел потом (честно ничего не припрятывал, всё что знал отдал бесплатно) а также от недозакрытых ими вещей чувак купил себе квартиру. :)
      • +3
        Так он продал уязвимости или отдал бесплатно?
        • +5
          То, что нашел с самого начала — отдал бесплатно. Продал то, что нашел уже потом.
      • +2
        А кто купил эти уязвимости за такие деньги? Ну то есть ладно, уязвимость в платежной системе или онлайн-банкинге, они вполне могут стоить квартиры, но тут всего лишь провайдер, хоть и крупный.
        • +3
          Уязвимости не продавались.
          Это было то время когда диалаповый месячный безлимит стоил как зарплата низкооплачиваемых работников. Недвижимость тогда тоже еще не была перегрета. Ну и провайдер был всеукраинский. Человек в розницу продавал интернет сильно дешевле его стоимости. За год на квартирку и накопил :)
    • +2
      locum.ru вообще славятся тупизной в этом плане и отмазками, почти аналогичный случай, когда у них были глючные настройки серверов, залочили аккаунт, обвинив простейшее Redmine приложение в вирусе. Разобрались позднее, но осадочек остался.
    • +5
      >Итог — штраф

      WAT?!
      • 0
        Пригрозили УК РФ. Штраф — досудебное решение проблемы.
        • +2
          > Пригрозили УК РФ

          Ну, может не стоило ложить все сайты для проверки
          • 0
            Так уж получилось… Только вот сейчас я нашёл ещё одну дыру у них, опять же с unicorn'ом и уж на этот раз я не стану им сообщать.
  • +3
    — осознание важности IT безопасности почти у всех компаний — отсутствует

    когда я работал в компании RIM через меня прошли базы BES всех почти федеральных служб G7, волстрит и форбс500. примерно 95% (навскидку) присылали копию базы, и только за редким исключением присылали фаил базы зажатый с паролем, совсем редко только таблицу с необходимыми данными.

    никто! не догадался прислать базу где реальные имена (кроме 2 федеральных агенств) и email (всегда были оригинальные) были бы обсфуркацированы.
  • +6
    Только full disclosure, только хардкор :)
  • +17
    Добрый день!

    Готов ответить за Mail.Ru.
    Во-первых, я прошу прощения за отсутствие быстрого ответа вам. Мы обязательно разберёмся с тем что произошло, и по какой причине вам не ответили оперативно.
    Во-вторых, спасибо :)
    В-третьих, ваш тикет конечно же дошёл до нужных людей(продуктовая безопасность) в этот понедельник. Пруф: i.imgur.com/YEI7sN1.png После чего баг был быстро отрепорчен разработчикам, с указанием отписаться автору бага(чего не произошло :().
    Я прошу вас связаться со мной, по адресу: d.sidorov@corp.mail.ru для обсуждения reward.
    • +10
      Как ни крути, опять поднялись в моих глазах.

      Что ж с mail.ru такое? Вроде ж не продавались никому? ))
      • +3
        > Как ни крути, опять поднялись в моих глазах.

        А в моих нет, как закрывали раньше уже упавшие сервисы на «профилактику», так и продолжают. Либо мейл не знает значения слова «профилактика», либо нагло обманывает своих пользователей.

        Так и тут, из новости следует что они сами закрыли сервис для дополнительной интеграции с игрой а не, хотя бы, «в связи с техническими проблемами».
        • +7
          Я же не говорю про абсолютную величину подъема, но относительно старого mail.ru прогресс есть, и заметный. Когда годами не затыкали дыры в том же «мире», о которых чуть в Хакере писали на всю страну — тогда явно было хуже.

          Здесь и пообещали разобраться, и даже что-то внятное ответили, и, глядишь, еще автора на чашу чая пригласят (впрочем, не знаю структуру, потому не уверен) ))
      • –1
        Поднимутся они, когда будут реагировать не здесь, а у себя. Вести себя хорошо только под давлением (публикация здесь в данном случае) — не делает чести.
    • +9
      Списались. Договорились о взаимовыгодных условиях. Спасибо.
    • +1
      Готов ответить за Mail.Ru.

      Посмотрела ваши комментарии.
      В прошлом году вы про mail.ru совершенно иначе отзывались.
      За это время у вас сменилась точка зрения?
      • 0
        Ну тогда еще не было вакансий :)
      • +3
        Определённо сменилась точка зрения.
        Мало того, сейчас за эту точку зрения отвечаем я и моя команда :) И у нас есть непреодолимое желание и умения именно в этом месте сделать всё хорошо.
        • +1
          Вот и хорошо. Если хотите, значит, сделаете. Удачи вам :)
          • –1
            Странно это, конечно же. С начала писать про точку зрения, ЗАМЕЧУ, заранее зная про то, что данный человек начал работать в компании, а после успешно подтверждать его слова, ОПЯТЬ ЖЕ, заранее зная, что он ответит.

            Вообщем, странно ;)
            • 0
              заранее зная про то, что данный человек начал работать в компании
              Откуда же я могла об этом заранее знать? В профиле место работы не указано. Разумеется, не много найдётся желающих отвечать за mail.ru, не работая там, но мало ли…
              Ответ мне понравился. Хороший и искренний ответ.
              И да, я не работаю на mail.ru.
              • –1
                Значит вы просто очень ярый фанат Mail.ru, либо это тайный заговор.
      • +1
        Тот пост просто божественен. После такого грех не нанять.
        Неужели все исправили, invented? А баунти когда появится?
        • 0
          >Как было сказано чуть выше, для пользователя есть способы защиты и от этих ошибок, но с определенными сайд-эффектами которые надо понимать. В частности, привязка сессии к IP адресу (есть в настройках безопасности) помогает во многих случаях защититься от воровства кук. Установка плагинов типа NotScript/NoJS во многих случах (в частности в Вашем примере) спасает от XSS.

          Они что, правда сказали что пользователи должны ставить NoScript чтобы защищиться от мейловых XSS? Платиновый ответ. Забыли посоветовать компьютер перезагрузить. три раза
        • 0
          Баунти сейчас как раз прорабатывается(а-ля тестируется), по факту репорта :)
          Плюс, отрабатываются схемы оплаты, сроков и прочего. Потому что поминая Яндекс, я предполагаю наличие проблем в этом месте :) Как и проблемы, связанные с тысячами репортов об отсутствии SSL от индусов, или проблем связанных с кастомными репортами(которые вообще нереально прочитать без боли в глазах).

          Вобщем, уже немного осталось, и я думаю у нас будет нормальное продуманное баунти с манжонгом и гейшами. Правда, распространяться баунти будет только на обойденные аудитами и тестированием безопасности проекты компании. Игры, к сожалению, к ним пока не относятся :(
  • +8
    Было бы здорово, если бы вы написали статью с разбором распространенных банальных ошибок в конфигах.
    • +17
      Если интересно — напишу. Правда надо сперва посмотреть наберется ли примеров на достаточный объем. Обычно ошибки все однотипные.
      • +10
        Было бы интересно в форме гайда, какие утилиты используются в ходе работы, как настроить среду для проведения исследований, как проводить само исследование, типовые примеры, конкретный пример. В таком виде и полезно и объем достаточный.
        • –2
          Кхм. Это вы предлагаете MrGrey рассказать нам, как потенциально спереть кучу пользовательских данных крупного туроператора? Давайте не будем называть это «исследованиями», а?
          И если уж рассказывать, то без инструкций
  • +35
    Как-то пытался заказать товар в интернет магазине почтовой службы одной из европейских стран, но постоянно выдавало ошибку и не удавалось завершить оформление заказа. Написал пару раз в суппорт – ответа не дождался. Поковырялся в системе и нашел дыру в системе с полным доступом к файлам. Зашел, исправил ошибку в коде магазина, оформил свой заказ, вернул ошибку на место и опять отписался суппорту уже с готовым решением и описанием я как получил доступ к их системе. Ошибку до сих пор не исправили, но заказанный товар прислали.
    • +14
      Лет 5 назад держал ВПС-ку у одного крупного хостинга. При очередном пополнении баланса был из процессинга перенаправлен на страничку super-hosting.xx/index.php?id_client=12345&add_balans=500, через пару минут мой баланс на хостинге превышал годовой бюджет РФ. Написал 3 безответных письма. Отчаявшись позвонил, поинтересовался можно ли вернуть ошибочно совершённый платёж… Не «вернули», не поблагодарили, ещё и судом угрожали.
      • +6
        super-hosting.xx/index.php?id_client=12345&add_balans=500

        Сам бог велел еще и друзьям накинуть! Проитерировали бы id_client :)
    • +16
      Так вот оно какое на самом деле, это «самообслуживание»!..
    • 0
      ваш пост сделал мой вечер, спасибо.
  • +3
    Круто, азартно, красиво. Вы молодец! Однако пентест, который еще называется внешним аудитом информационной системы, проводится только с разрешения руководства компании. Иначе подсудно. А тут дети статьи читают.
    Кстати, может есть кто из штатов, внешним аудитором? Обрисовать правовое поле в двух словах, в России-то всяко можно, а как у вас, при развитой прецедентной правовой системе, пентестом любительствовать?
  • 0
    А в итоге с работой-то в "*Газ" чем закончилось?
    • +1
      Думаю для автора топика — это не предел мечтаний, как для большинства россиян. ;)
  • 0
    Как же забавно наблюдать «ответы» русских говносайтов/говнокомпаний. Я с самого начала зарекся искать/помогать рунет компаниям потому что отношение просто отвратительное.

    Как видите одил лишь parallels дал хоть что то вместо «спасибо». Итог — русские сайты надо либо нещадно ломать и сливать данные, либо игнорировать. Вайтхэтством лучше заниматься на других прекрасных адекватных сайтах, будь то facebook или google.
    • 0
      А как же Badoo?
      • 0
        Badoo это отлично, но на общем фоне таких примеров 2-3
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      Нет, имею другой стабильный источник дохода. Это больше для саморазвития и хоть какой-то уверенности, что мои персональные данные не будут доступны всему свету.
  • 0
    у меня другой вопрос.
    Вот предположим я владелец небольшого сайтика, который мне важен.
    Труда в него было вложено много, но я уверен, что он «дырявый», так как использует распространенный движок, например Joomla.
    Сам я исследовать и починить не могу в виду не компетентности в этой области.
    Нанять человека? Как?
    Если я некомпетентен, то как я узнаю, что тот, кого нанимаю компетентен?
    Более того, как я после его работы узнаю, что он «все починил»?
    У меня нет способа проверить качество его работы и вообще как проверить, что он хоть что-то сделал.
    Либо нужно нанимать двоих независимых экспертов…
    • 0
      В случае с распространённым движком, будет достаточно если эксперт просто посоветует вам обновляться почаще, либо заюзать какой-нибудь софт для аудита стандартных движков. Например как WPScan какой-нибудь для Wordpress.
      Это естественно, при условии что вы сами дальше исследовать и починить не сможете.

      Что же до аудита, например, вашего софта, то чинить всё таки будете вы а не он :)
      Его дело лишь отрепортить баги, причем как можно более комплексно и полно, а ваше дело — вникнуть в баги, зафиксить их, и самое главное понять, есть ли ещё аналогичные в других местах проекта.
      • 0
        а какой мой софт — у меня своего нет — движок то стандартный!
        Обновляться — это да, я понимаю и обновляюсь и все равно иной раз вижу, что хакеры исправляют некоторые страницы или пытаются положить в мою файловую систему какой нибудь файл с расширением jpg а внутри php.
        • 0
          Ну у вас там скорее всего Joomla + плагины.

          Векторов атак не так много:
          1) Сама джумла. Просто обновляйтесь.
          2) Её плагины. Тут вам как раз таки должен помочь какой-нибудь спец. joomla сканер плагинов на наличие багов в безопасности. Ну или просто ручками отсматривайте апдейты плагинов, и не ставьте сомнительные.
          3) Ваш хостинг. В случае шаред хостинга, например. вполне реально походить по контенту сайтов «соседей». Поэтому лучше VPS взять.
          4) Ваш личный комп, откуда можно ваш пароль угнать малварью. Тут понятно думаю что делать.

          Может ребята в комментах что ещё подскажут )
  • 0
    С такими, как kremlin.ru, советую поступать следующим образом. Немного продолжить исследование, выяснить, кому же отдали на аутсорс лакомый кусок, и называть в публикации их имена.
  • 0
    Оперсорсом за «спасибо» заниматься — это я понимаю. А коммерсам — «утром деньги, вечером репорты». От этого зависит их бизнес…
  • 0
    Ох, смело!) На kremlin.ru то) Сам писал в русские компании. Разные компании. И большие и не очень большие. И понял, что профита с этого в общем случае — ноль. Теперь пишу только:
    — по заказу — за деньги
    — по знакомству — когда понимаю, что могу получить с этого рекомендации в узких кругах
    — и в Bug bounty — та ещё олимпиада заплатят/не заплатят, но тоже скорее прибыльно, чем нет.
    А писал я много куда:
    — автодилеру — ни ответа, ни привета — исправили
    — крупному банку — за спасибо, правда от вице-президента)
    — крупному разработчику ПО — за спасибо
    — эквайрингу какому-то — ни ответа, ни привета — исправили.
    и так далее и тому подобное.
    Писать в свою юрисдикцию с такими сумрачными перспективами — нет уж, нет уж.
  • 0
    Я тоже провёл хардварный пентест и нашёл уязвимость у одного из местных провайдеров. Не очень серьёзную (в результате применения без интернета остаётся всего один многоквартирный дом), но тоже было любопытно наблюдать реакцию.
    А ситуация, на самом деле, неприятная.
    «Хардварность» заключается в том, что они внаглую подключили своё оборудование к моему электросчётчику. Вроде и тырят немного (20 ватт круглосуточно), но, блин, плачу-то за них я!
    Уязвимость применяется с помощью кусачек.
    А реакция — никакая. В смысле, на вежливое письмо в их адрес («пожалуйста, ликвидируйте врезку!») ответа не последовало.
    На «применение уязвимости» нарисовался мальчик, который переподключил врезку к другому счётчику (теперь тырят у соседей).
    Что с этим поделать — не знаю…
    • +2
      обраться в управляющую компанию. Может там помогут. А вообще в суд надо. Может управляющая компания и подаст иск
  • –1
    Эх, мне такие умения кажутся таки-ими очаровательными)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.