Hari ini saya ingin berbicara tentang bagaimana, pada tahun 2012, saya menemukan kerentanan dalam sistem pendaftaran domain REG.RU. Sangat sering saya melihat cerita di mana penulis berbicara tentang kerentanan sambil menyebutkan bahwa perusahaan tidak cukup memperhatikan bug yang ditemukan untuk waktu yang lama atau tidak memperbaikinya sama sekali. Dalam kasus saya, semuanya justru sebaliknya, dan kerentanannya dihilangkan dengan sangat cepat.
Pada bulan September 2012,
REG.RU mulai mendaftarkan domain di zona
ru.com dan mengirim surat ke semua pelanggannya dengan proposal untuk menerima secara gratis domain tahun pertama di zona baru dengan nama domain yang sudah terdaftar di zona
ru ,
rf ,
su ,
com ,
net .
Mendapatkan domain gratis ternyata cukup sederhana: Anda harus mengikuti tautan dari surat itu, memasukkan kode aktivasi domain, dan domain itu terdaftar gratis selama setahun.
Sebelum mendaftarkan domain, sistem menawarkan untuk berkenalan dengan detail kontak dari domain "asli" yang mana domain hadiah akan didaftarkan, tetapi data ini terbuka hanya untuk dilihat tanpa kemungkinan pengeditan, sehingga makna tampilan mereka tidak jelas. Namun, ini adalah bug pertama: pendaftaran domain baru tersedia melalui tautan formulir
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX , dan ID layanan dapat dengan mudah dicacah dengan melihat siapa yang terdaftar. satu atau domain lain.
Spesialis REG.RU memastikan bahwa semua kontak tidak ditampilkan sepenuhnya, tetapi hanya 7 karakter pertama dari setiap bidang yang ditampilkan, yang secara teoritis tidak boleh sepenuhnya mengungkapkan informasi tentang pemilik domain, namun, misalnya, nama dan nama keluarga saya kurang dari 7 karakter dan mereka muncul sepenuhnya. Nah, plus untuk semuanya, jika Anda menunjukkan 7 karakter pertama dari nama tersebut, Anda sering dapat menebak karakter mana yang perlu Anda tambahkan, contoh sederhana adalah "Vladimi".
Bug ini diperbaiki dengan cukup cepat, dan sekarang sistem hanya menunjukkan 4 karakter pertama, yang jauh lebih baik, meskipun orang dengan nama "Han Solo" tidak akan senang.
Bug berikutnya adalah kemampuan untuk mendaftarkan domain tanpa memasukkan kode aktivasi. Untuk mencegah semua pemilik domain dari menjalankan mendaftar domain gratis sekaligus, REG.RU memutuskan untuk mengirim surat tidak segera, tetapi dalam beberapa hari, sehingga beban didistribusikan secara merata. Dari sudut pandang teknis, itu adalah sesuatu seperti ini: dalam database di tabel dengan domain, kolom baru "Kode otorisasi" dibuat dengan nilai kosong, dan dari waktu ke waktu surat dikirim ke pengguna dengan kode yang sama yang mengisi bidang ini. Pencarian sederhana dapat mengikuti tautan seperti
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX , meningkatkan ID layanan ke nilai ketika sistem belum berhasil mengeluarkan kode otorisasi ke domain tersebut dan mendaftarkan domain dengan kosong kode.
Tidak ada yang salah dengan mendaftarkan domain seperti itu, tetapi setelah pendaftaran menjadi mungkin untuk melihat rincian kontak lengkap (nama, alamat dan nomor telepon) dari pemilik domain "asli" tanpa karakter tersembunyi. Tidak sulit untuk memperbaiki bug ini, cukup menambahkan cek untuk kode otorisasi yang tidak kosong selama pendaftaran, yang juga segera diperbaiki oleh para ahli REG.RU.
Setelah beberapa saat saya menemukan bug lain, tetapi membutuhkan tindakan lebih dari sekadar memilah-milah ID layanan. Untuk menyederhanakan prosedur pendaftaran domain hadiah, REG.RU memungkinkan untuk mendaftarkan domain tanpa memasukkan kode otorisasi dari surat jika akun email dalam sistem reg.ru bertepatan dengan alamat email yang ditentukan sebagai kontak di domain asli. Itu cukup nyaman bagi pengguna, tetapi dalam hal keamanan, semuanya tidak begitu baik.
Pada 2012, tidak ada undang-undang tentang perlindungan data pribadi dalam edisi saat ini, dan untuk banyak domain di zona
ru , Anda bisa melihat alamat email kontak melalui Whois. Pada saat bug ini ditemukan, alamat email sudah disembunyikan, tetapi melalui layanan melihat riwayat Whois Anda dapat melihat email tersebut, dan, dengan probabilitas tinggi, itu relevan. Setelah itu, Anda harus mencoba mendaftar di sistem REG.RU dengan alamat email ini dan setelah itu, tanpa kode otorisasi, dapatkan domain gratis, yang pada gilirannya membuka akses ke informasi kontak dari domain asli.
Singkatnya, prosedurnya adalah sebagai berikut:
- Kami membuka halaman formulir
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX dan melihat nama domain dengan ID ini, misalnya, habr.ru.com . - Melalui layanan penampil riwayat Whois kami menemukan alamat email untuk habr.ru domain.
- Menggunakan alamat email ini, kami membuat akun di sistem REG.RU (konfirmasi kepemilikan alamat email tidak diperlukan saat itu).
- Tanpa memasukkan kode verifikasi, kami mendaftarkan domain habr.ru.com dan melihat rincian kontak lengkap dari pemilik habr.ru.
Kesalahan yang dibuat oleh REG.RU berpotensi menyebabkan kebocoran sejumlah besar data pribadi pemilik domain, tetapi semua bug diperbaiki dengan sangat cepat. Kurang dari dua hari telah berlalu sejak saat menulis surat pertama (dan saya menulisnya secara pribadi ke direktur eksekutif REG.RU) dan sebelum memperbaiki semua kerentanan, yang, menurut pendapat saya, adalah waktu yang cukup singkat untuk sebuah perusahaan sebesar ini dan ketentuan untuk memperbaiki kerentanan lain di perusahaan lain.
Lihatlah VPS.today , situs untuk mencari server virtual. 1400 tarif dari 120 host, antarmuka yang nyaman dan sejumlah besar kriteria untuk menemukan server virtual terbaik.