Penafian. Semua acara berlangsung pada tahun 2017. Semua kerentanan yang ditentukan dalam artikel tersebut dilaporkan kepada perwakilan perusahaan sesegera mungkin sejak mereka ditemukan. Beberapa sumber daya, untuk 2019, telah sepenuhnya diperbarui (frontend dan backend).
Artikel ini murni bersifat informasi dan pendidikan.Berjalan melalui folder lama, saya menemukan screenshot yang disimpan yang saya buat untuk perwakilan dari beberapa perusahaan terkenal di pasar keuangan-IT kami.
Semuanya dimulai dengan fakta bahwa saya memutuskan untuk mengubah profil pekerjaan saya dan mencoba sendiri dalam QA atau profesi terkait, tetapi bukan sebagai penyendiri otodidak, tetapi untuk melakukan ini pada staf dari beberapa organisasi besar, sehingga saya memiliki seseorang untuk belajar dari, bekerja sebagai sebuah tim ...
Setelah memposting resume, Sberbank Technologies, Bank of Discovery tentang yang akan sedikit cerita, menyeberang dengan saya.
Setelah undangan untuk mengobrol, saya memutuskan untuk melihat apa yang ada di domain perusahaan untuk kerentanan yang menarik. Itu selalu menyenangkan untuk memiliki kartu truf di lengan negosiasi.
Sberbank
Sberbank terutama terkait dengan Rusia, tetapi memiliki cabang di negara lain. Karena itu, saya memutuskan untuk mengambil jalan "sederhana". Hampir setelah beberapa upaya, dua kerentanan XSS pasif ditemukan di antarmuka web Sberbank
Belarusia .
Kesalahan anak pertama adalah tidak memeriksa data yang masuk dari pengguna. Akibatnya, skrip lintas situs di bidang pencarian dan formulir masuk untuk Sberbank Online.
Poin terpisah pada formulir masuk Sberbank Online adalah bahwa meskipun formulir mentransmisikan nilai melalui POST, skrip di server web berhasil memproses permintaan GET saya.
Saya juga memutuskan untuk melihat domain dari mana HR Sberbank menulis kepada saya. Ternyata menjadi portal "Sberbank Talents".
Setelah tersiksa berbagai bentuk dan bidang tersembunyi, saya tidak mendapatkan sesuatu yang bagus, kecuali bahwa portal berputar di ASP.NET.
Setelah meninjau sekali lagi sumber halaman HTML utama, saya perhatikan bahwa semua file JS dan CSS diberikan melalui skrip yang menggabungkan dan memampatkan file yang ditentukan dalam permintaan GET.
Kesalahan anak kedua adalah tidak membatasi daftar file / direktori yang dapat diunduh dari server ke daftar putih.
Akibatnya, saya mendapat akses ke file konfigurasi server web. Dan juga, ke file log yang lebih menarik, di mana kata sandi dari SQL dan layanan lainnya ditunjukkan, serta token API saat ini untuk penerbitan di jejaring sosial.
Penemuan
Di sini, saya juga memutuskan untuk tidak membuang waktu di portal utama, tetapi untuk segera melihat sumber daya web saya yang mana yang terhubung dengan bank. "Portal Karir Otkritie Bank" menjadi subjek, dengan analogi acak dengan Sberbank.
Ternyata portal tersebut berjalan pada CMS Bitrix. Sebagai aturan, mesin komersial besar atau mesin open source tidak mengandung kesalahan anak, tetapi ...
Oke Google, bagaimana cara mengakses panel admin Bitrix?
Kesalahan anak ketiga adalah tidak menutup daftar direktori di server.Pada prinsipnya, semuanya jelas - Apache dikonfigurasi sehingga direktori tanpa file indeks menunjukkan isinya. Ini bukan masalah yang sangat kritis, jika bukan karena kombinasi keadaan yang menentukan. Di portal karier, Anda dapat mengunggah detail kontak dan file resume Anda. Beberapa menit dan saya sudah melihat daftar direktori dengan data pelamar.
Ini semua menarik, tetapi bukan panel admin. Karena itu, kami membuka semua folder dengan harapan menemukan sesuatu.
Bukan kesalahan masa kecil - faktor manusia. Saya tidak tahu caranya, dan yang paling penting mengapa, tetapi di salah satu direktori dengan file PDF / RTF / DOC ada file tanpa ekstensi, yang merupakan skrip PHP.
Berkat file ini, vektor pencarian baru diperoleh - folder / estaff /, tempat log untuk menambah / menghapus lowongan dengan pasangan nama pengguna / kata sandi, skrip modul, serta di salah satu file rincian yang mendekati panel admin Bitrix ditampilkan.
Sekarang, Sharik, Anda akan mengejarnya selama setengah hari lagi - untuk memberikan foto ...
Sayangnya, bagiku kisah ini berakhir tanpa akhir yang bahagia. Pertama, saya harus mencari perwakilan nyata dari bank yang terkait dengan IT untuk waktu yang lama. Lini pertama dukungan untuk bank (juga SDM sendiri), pada prinsipnya, tidak memahami masalah yang diharapkan, tetapi tidak dapat meneruskan data ini kepada kolega dari departemen yang diperlukan.
Solusinya adalah LinkedIn dan pengiriman pesan pribadi ke kepala berbagai departemen, setidaknya terkait dengan infrastruktur TI.
Kedua, kedua bank tidak memiliki program Bug Bounty, sebagai hasilnya, semuanya terbatas pada "Terima kasih" yang singkat.
Dan ketiga, SDM kedua bank tidak mempertimbangkan resume saya, dengan alasan kurangnya pengalaman.