这个简短的故事分为两个部分:
- 检测到最有可能由于开发人员的疏忽而出现的漏洞;
- 在直线的发现报告。
但是,如果一切都这么简单,那么这篇文章就不会出现。
第1部分。发生了什么事?
昨天,在Android Studio中调试应用程序时,我打开了Logcat,并看到“我的直线”在其中闪烁。 那又怎样 我确实已经安装了此应用程序。 许多应用程序将某些内容写入日志。
但是 原来是HTTP请求和响应日志。 再次,这不是那么可怕。 API请求链接,有关成功响应的消息。
但是 除了链接之外,标头和请求主体(包括 json内容(精心格式化)和令牌会话。
然后,您可以使自己成为爆米花,通过关键字“ beeline”进行过滤,并观察应用程序的网络寿命。
第2部分。我们发出警报。
当然,这不应该被遗忘。 毫不犹豫地,我去了上面提到的公司的站点,我斜着眼望去,发现没有什么比在站点上与支持者开始聊天的提议要好了。 当然,我遇到了聊天机器人形式的面部控制。
接下来是以下对话:
与机器人对话Bot:感谢您与我们的聊天室联系。 提出问题,我们的专家将帮助您找到解决方案。
我:下午好,我不小心在您的android应用程序中发现了一个漏洞,该在哪里报告?
Bot: iMessage和FaceTime是Apple收费开发的技术。 需要使用互联网连接。 iMessage-允许您将文本消息发送给另一个iMessage用户。 可以在设备的设置中禁用该服务:“设置”-“消息”-“ iMessage”-禁用。 FaceTime是一个程序,您可以使用它在Apple设备之间进行视频和音频通话。 您也可以在设备的设置中禁用此选项:“设置”-“ FaceTime”-禁用。 如果您仍然对这项服务的可能性有疑问,可以与他们联系。 Apple iPhone支持:8-800-555-67-34(免费电话)。
我:什么?
机器人:请指明您的兴趣。
我:我不小心在您的android应用程序中发现了一个漏洞,该在哪里报告?
Bot: iMessage和FaceTime是Apple收费开发的技术。 需要使用互联网连接。 iMessage-允许您将文本消息发送给另一个iMessage用户。 可以在设备的设置中禁用该服务:“设置”-“消息”-“ iMessage”-禁用。 FaceTime是一个程序,您可以使用它在Apple设备之间进行视频和音频通话。 您也可以在设备的设置中禁用此选项:“设置”-“ FaceTime”-禁用。 如果您仍然对这项服务的可能性有疑问,可以与他们联系。 Apple iPhone支持:8-800-555-67-34(免费电话)。
我:发生了什么事?
Bot:请重新提出您的问题。
我:我不小心在您的android应用程序中发现了一个漏洞,该在哪里报告?
Bot: iMessage和FaceTime是Apple收费开发的技术。 需要使用互联网连接。 iMessage-允许您将文本消息发送给另一个iMessage用户。 可以在设备的设置中禁用该服务:“设置”-“消息”-“ iMessage”-禁用。 FaceTime是一个程序,您可以使用它在Apple设备之间进行视频和音频通话。 您也可以在设备的设置中禁用此选项:“设置”-“ FaceTime”-禁用。 如果您仍然对这项服务的可能性有疑问,可以与他们联系。 Apple iPhone支持:8-800-555-67-34(免费电话)。
我绝对不知道,因为该僵尸程序扭曲了什么关键字。 与答录机的对话让我很快感到无聊。 我尝试了另一种组合,瞧,帮助信息又一次堆在我身上,但是最后我还是愿意和一个真实的人交谈。 Hooray,某个奥列格出现了,他研究了我与机器人的对话(可能他对机器人不会取代他感到放心)并建议我用otvet@beeline.ru的屏幕截图描述我的发现(我在网站上找不到她的提及,也许不好我一直在寻找)。 然后,奥列格(Oleg)感谢我的帮助,并决定营救其他机器人。
我对进度感到满意,将以下内容写到指示的邮件中:
我的信下午好
我意外发现My Beeline android应用程序将所有API请求以及令牌和json内容合并到日志中。 我认为这是一个漏洞。
问候
科兹洛夫·米哈伊尔(Kozlov Mikhail)
他对自己很满意,自己煮咖啡,继续工作。 今天答案来了。
答案你好迈克尔!
尚不清楚到底什么对您不起作用。 详细描述您的问题。
感谢您使用Beeline服务。
最好的问候
内克拉索夫·维亚切斯拉夫,
Beeline客户支持服务。
在执行facepalm仪式后,为了避免写出一条不适用于我的消息,而是对他们(聊天机器人,支持服务和应用程序开发人员)不起作用的问题,我更详细地描述了该问题。
这次,我不必等待很长时间,答案在五分钟内到来。
