lnroma Oct 17 2016 at 17:45

Информационая безопасность в сфере телекома на примере Megafon'а

1 min

4.2K

Information Security*

-5

Comments 13

UFO just landed and posted this here

MERRON Oct 17 2016 at 20:16

disakov Oct 17 2016 at 22:57

Несмотря на то, что, возможно, автор просто пробежался сканером по сайту и выложил это как статью тут, у меня возникает вопрос. А что у мегафона нет денег на такой сканер, чтобы найти такие ляпы и не позориться? Или отделу безопасности совсем лень? Про предварительное тестирование на такие вещи видимо не стоит и заикаться.

lnroma Oct 18 2016 at 00:20

Это ручная работа

-1

disakov Oct 18 2016 at 00:30

Суть моего комментария немного в другом.
Я думаю сканер должен был такое отловить, если бы им пользовались как надо. И Ваша работа бы не пригодилась.

Pakos Oct 18 2016 at 09:31

«А как этот сканер запустить? И что это такое?» Думаю, скорее, у Мегафона нет денег на специалиста, знающего про сканер (или про XSS, что ещё печальнее). Теперь благодаря таким письмам они поднимают скилл.

disakov Oct 18 2016 at 13:14

Я думаю денег им хватает, соображалки и понимания зачем такой спец нужен не хватает. Как говорится: «Нет бизнес необходимости».

qw1 Oct 17 2016 at 23:46

Я понимаю опасность XSS на публичном форуме: оставил инъекцию в комментарии, своём нике или подписи, и другие пользователи получают её. Но как эксплуатировать XSS на сайтах типа «личный кабинет»? Только сам атакующий видит свои закладки на страницах, и больше никто. Особенно интересно — XSS в параметрах фильтров каталога товаров, как их использовать?

lnroma Oct 18 2016 at 00:07

несколько шагов:
1. берёмснифер
2. Пишем js скрипт маскируем под картинку
3. Отсылаем в поддержку магаза мол у вас xss с этой картинкой
4. Получаем сессию
5. Подставляем куки сессии в наш браузер
6. Заходим в админку
и тут несколько вариантов
7.a покупаем что нибудь и ставим ордер как оплаченый
7.b выставляем скидку на товар и покупаем
7.c льём шелл и получаем доступ к серверу.

a1ien_n3t Oct 18 2016 at 12:30

Есть только пара НО.
1) Надеемся что сессия не привязанна к IP
2) Стоят не http-only куки.

qw1 Oct 18 2016 at 15:52

2. Пишем js скрипт маскируем под картинку

Сейчас публичные сервисы (gmail, mail.ru) копируют картинку себе и не оставляют в письме ссылки на внешний ресурс. Корпоративный outlook по умолчанию блокирует подгрузку снаружи. Т.е. картинка должна появиться при переходе по внешней ссылке, что настораживает (если это не инстаграм или fastpic.ru).

Ну и главное — я думаю, у поддержки нет авторизации в админке сайта. Зачем это специалистам первой линии?

Dal Oct 18 2016 at 07:01

И еще какое-то время назад пароль в личном кабинете можно было делать только из цифр.

kg_ural Aug 23 2021 at 12:11

так что я бы не стал особо доверять мегафону свои деньги, информацию и личные данные — как минимум так как нет редиректа с http на https в магазине Мегафон

ОМГ, теперь придется отказаться от покупок и на ebay.com, и на apple.com, и на zappos.com, и на ozon.ru, и на mvideo.ru… Кошмар!

Show the best of all time