تنويه. وقعت جميع الأحداث في عام 2017. تم الإبلاغ عن جميع نقاط الضعف المحددة في المقال لممثلي الشركة في أقرب وقت ممكن من لحظة اكتشافهم. تم تحديث بعض الموارد لعام 2019 بالكامل (الواجهة الأمامية والخلفية).
المقالة إعلامية بحتة وتربوية بطبيعتها.من خلال تشغيل المجلدات القديمة ، صادفت لقطات شاشة محفوظة لممثلي بضع شركات سيئة السمعة في سوق تكنولوجيا المعلومات المالية الخاص بنا.
لقد بدأ كل شيء بحقيقة أنني قررت تغيير ملفي الشخصي عن العمل ومحاكمة نفسي في مهنة ضمان الجودة أو مهنة ذات صلة ، ولكن ليس كمتعلم وحيد ، ولكن للقيام بذلك على موظفي بعض المنظمات الكبيرة ، بحيث كان لدي شخص ما ليتعلم منه ، أعمل كفريق ...
بعد نشر السيرة الذاتية ، عبر معي سبيربنك تكنولوجيز ، بنك ديسكفري عن قصة صغيرة.
بعد دعوة الدردشة ، قررت أن أرى ما يعيش في مجالات الشركات من أجل مواطن الضعف المثيرة للاهتمام. من الجيد دائمًا أن يكون لديك ورقة رابحة في الأكمام في المفاوضات.
بنك الادخار
يرتبط سبيربنك في المقام الأول بروسيا ، ولكن له فروع في بلدان أخرى. لذلك ، قررت أن أسلك المسار "البسيط". بعد محاولتين تقريبًا ، تم العثور على ثغرات XSS سلبية في واجهة الويب لـ Sberbank
البيلاروسية .
خطأ الأطفال الأول هو عدم التحقق من البيانات الواردة من المستخدم. نتيجة لذلك ، البرمجة النصية عبر المواقع في حقل البحث ونموذج تسجيل الدخول لـ Sberbank Online.
هناك نقطة منفصلة في نموذج تسجيل الدخول إلى Sberbank Online وهي أنه على الرغم من أن النموذج ينقل القيم من خلال POST ، فإن النصوص الموجودة على خادم الويب عالجت بنجاح طلب GET الخاص بي.
قررت أيضًا إلقاء نظرة على المجال الذي كتب منه HR Sberbank. اتضح أن تكون بوابة "مواهب سبيربنك".
بعد تعذّب أشكال مختلفة وحقول مخفية ، لم أحصل على أي شيء جيد ، إلا أن البوابة تدور على ASP.NET.
بعد مراجعة مصدر صفحة HTML الرئيسية مرة أخرى ، لاحظت أن جميع ملفات JS و CSS يتم تقديمها من خلال برنامج نصي يجمع بين الملفات المحددة في طلب GET وضغطها.
خطأ الأطفال الثاني هو عدم تحديد قائمة الملفات / الدلائل التي يمكن تنزيلها من الخادم إلى القائمة البيضاء.
نتيجة لذلك ، حصلت على حق الوصول إلى ملف تكوين خادم الويب. وأيضًا ، إلى ملف سجل أكثر إثارة للاهتمام ، حيث تمت الإشارة إلى كل من كلمات المرور من SQL والخدمات الأخرى ، بالإضافة إلى الرموز API الحالية للنشر على الشبكات الاجتماعية.
اكتشاف
هنا ، قررت أيضًا عدم تضييع الوقت على البوابة الرئيسية ، لكنني أنظر فورًا إلى أي من موارد الويب الخاصة بي التي يرتبط بها البنك. أصبحت "البوابة الوظيفية لبنك أوتكريتي" موضوعًا ، عن طريق القياس العشوائي مع سبيربنك.
اتضح أن البوابة تعمل على CMS Bitrix. كقاعدة عامة ، لا تحتوي المحركات التجارية الكبيرة أو المحركات مفتوحة المصدر على أخطاء فرعية ، ولكن ...
حسنا جوجل ، كيفية الوصول إلى لوحة المسؤول Bitrix؟
خطأ الطفل الثالث هو عدم إغلاق قائمة الدليل على الخادم.من حيث المبدأ ، كل شيء واضح - تم تكوين Apache بحيث تظهر الأدلة بدون ملفات الفهرس محتوياتها. هذه ليست مشكلة حرجة للغاية ، إن لم يكن لمجموعة من الظروف المصيرية. على بوابة المهنة ، يمكنك تحميل تفاصيل الاتصال الخاصة بك وملف سيرتك الذاتية. بضع دقائق وأنا بالفعل تبحث في سرد الدليل مع بيانات المتقدمين.
هذا كل شيء مثير للاهتمام ، ولكن ليس لوحة الادارة. لذلك ، نتصفح جميع المجلدات على أمل العثور على شيء ما.
ليس خطأ الطفولة - العامل البشري. لا أعرف "كيف" والأهم من ذلك "لماذا" ، لكن في أحد الأدلة مع ملفات PDF / RTF / DOC ، كان هناك ملف بدون امتداد ، والذي كان عبارة عن برنامج نصي PHP.
بفضل هذا الملف ، تم الحصول على ناقل بحث جديد - المجلد / estaff / ، حيث تم عرض سجلات إضافة / إزالة الوظائف الشاغرة مع زوج اسم المستخدم / كلمة المرور ، والبرامج النصية للوحدة النمطية ، وكذلك في أحد الملفات ، تم عرض التفاصيل التي اقتربت من لوحة إدارة Bitrix.
الآن ، يا شيخ ، سوف ترشح نفسه لمدة نصف يوم آخر - لإعطاء صور ...
لسوء الحظ ، بالنسبة لي هذه القصة انتهت دون نهاية سعيدة. أولاً ، كان علي البحث عن ممثل حقيقي للبنك فيما يتعلق بتكنولوجيا المعلومات لفترة طويلة. السطر الأول من الدعم للبنوك (وكذلك الموارد البشرية نفسها) ، من حيث المبدأ ، لم يفهم المشكلة ، وهو أمر متوقع ، ولكنه لم يتمكن من نقل هذه البيانات إلى الزملاء من الإدارات اللازمة.
كان الحل ينكدين وإرسال الرسائل الشخصية إلى رؤساء الإدارات المختلفة ، على الأقل بطريقة ما مرتبطة بالبنية التحتية لتكنولوجيا المعلومات.
ثانياً ، لا يوجد لدى كلا البنكين برنامج Bug Bounty ، وكنتيجة لذلك ، اقتصر كل شيء على موجز "شكرًا لك".
وثالثا ، الموارد البشرية في كلا البنكين لم تنظر في سيرتي الذاتية ، مشيرة إلى قلة الخبرة.