免责声明 所有活动均于2017年举行。 自发现之日起,便尽快将文章中指定的所有漏洞报告给公司代表。 2019年的某些资源已完全更新(前端和后端)。
该文章本质上纯粹是信息性和教育性的。在旧文件夹中运行时,我遇到了保存的屏幕截图,这些截图是我为金融IT市场中几个臭名昭著的公司的代表制作的。
一切始于这样一个事实,我决定改变自己的工作方式并尝试进行质量检查或相关专业,但不是以自学成才的独来独往的人,而是要在某个大型组织的员工中做到这一点,这样我就有人可以向他们学习,团队合作...
在发布简历之后,发现小故事的Sberbank Technologies(发现银行)与我交叉。
受邀聊天之后,我决定看看公司域中存在哪些有趣的漏洞。 在谈判中穿上王牌总是很高兴。
储蓄银行
Sberbank主要与俄罗斯有联系,但在其他国家设有分支机构。 因此,我决定走“简单”道路。 经过几次尝试,几乎在
白俄罗斯储蓄银行的Web界面中发现了两个被动XSS漏洞。
孩子们的第一个错误是不检查用户输入的数据。 结果,Sberbank Online的搜索字段和登录表单中的跨站点脚本。
Sberbank Online登录表单上的另一点是,尽管表单通过POST传输了值,但Web服务器上的脚本成功处理了我的GET请求。
我还决定查看HR Sberbank给我写信的领域。 原来是门户网站“ Sberbank Talents”。
折磨了不同的表单和隐藏的字段后,除了门户网站正在ASP.NET上旋转之外,我没有得到什么好处。
再次查看HTML主页后,我注意到所有JS和CSS文件都是通过脚本提供的,该脚本组合并压缩了GET请求中指定的文件。
第二个孩子的错误是不将可以从服务器下载的文件/目录列表限制为白名单。
结果,我可以访问Web服务器配置文件。 而且,到一个更有趣的日志文件中,其中指示了来自SQL和其他服务的密码,以及用于在社交网络上发布的当前API令牌。
发现
在这里,我还决定不浪费时间在主门户上,而是立即查看银行要链接到我的哪些Web资源。 通过与Sberbank的随机比较,“ Otkritie银行的职业门户网站”成为一个主题。
原来,该门户网站在CMS Bitrix上运行。 通常,大型商业引擎或开源引擎不包含子错误,但是...
好的,Google,如何访问Bitrix管理面板?
第三个孩子的错误是不关闭服务器上的目录列表。原则上,一切都很清楚-Apache已配置为没有索引文件的目录显示其内容。 这不是一个非常关键的问题,即使不是因为命运的综合考虑。 在职业门户网站上,您可以上传您的联系方式和简历文件。 几分钟后,我已经在寻找列出申请人数据的目录了。
这都很有趣,但管理面板却没有。 因此,我们浏览所有文件夹,以期找到一些东西。
不是童年的错误-人为因素。 我不知道“如何”,最重要的是“为什么”,但是在一个包含PDF / RTF / DOC文件的目录中,有一个没有扩展名的文件,它是一个PHP脚本。
由于有了这个文件,因此获得了一个新的搜索向量-文件夹/ estaff /,在其中添加/删除具有用户名/密码对的空缺的日志,模块脚本以及其中一个文件中,显示了访问Bitrix管理面板的详细信息。
现在,谢里克,您将跟着他再跑半天-给照片拍照...
不幸的是,对我来说,这个故事没有圆满结局。 首先,我必须长期寻找与IT相关的银行的真正代表。 原则上,对银行(以及人力资源本身)的第一线支持并不理解这一问题,这是预料之中的,但是无法将此数据传递给必要部门的同事。
解决方案是使用LinkedIn,并将个人消息发送到各个部门的负责人,至少在某种程度上与IT基础架构有关。
其次,两家银行都没有Bug赏金计划,因此,一切都仅限于简洁的“谢谢”。
第三,两家银行的人力资源部都因缺乏经验而没有考虑我的简历。