- PVSM.RU - https://www.pvsm.ru -
В данном посте я решил немного рассказать о своих исследованиях в области IT безопасности.
Некоторые компании не будут названы в статье, чтобы не портить «имидж».
Ресурсы в которых были найдены уязвимости: aa.mail.ru, nag.ru, graph.document.kremlin.ru, sencha.com, parallels.com, volgogsm.ru, next-one.ru, а также туроператор X, и одна из дочерних организаций Газпрома.
Достаточно давно уже увлекаюсь проведением исследований безопасности разных ресурсов. Большинство из них мне приходилось использовать самому и было интересно узнать в сохранности ли мои данные.
Как наверное всем известно — компания mail.ru запустила игру ArcheAge. Не будем тут вдаваться в обсуждение хорошо ли это, и насколько успешен был запуск. На сайте aa.mail.ru был доступен сервис регистрации и поиска гильдий. Уязвимость самая банальная — sql инъекция в get запросе поиска. И хотя используются фильтры запросов, которые банят IP, например, при post/get запросе «union select», можно было их обойти и получить вывод данных из других таблиц сайта.
Сразу после обнаружения я написал на ящики support@corp.mail.ru и security@corp.mail.ru. Однако даже спустя сутки на мои письма не было никакого ответа, кроме автоматического номера тикета в их системе. Уязвимость все также была на сайте. После этого я написал в личные сообщения администрации mail.ru на форуме aa.mail.ru. На что мне ответили о том, что надо было писать в тех. поддержку конкретно их игры, а не всего mail.ru. И отправили писать тикет туда. Ну хорошо, написал. Тикет числился «в работе» еще сутки, при этом сервис гильдий даже не был закрыт. И вот вчера — наконец-то его закрыли. Причем формулировка закрытия забавная aa.mail.ru/news/309936.html [1]. А теперь главное — мой тикет все также висит «в работе».
Итог: Дырка закрыта. Не сказали даже «спасибо».
Давным давно, решил я проверить nag.ru на прочность. К моему нескончаемому огорчению были найдены банальные мисконфиги на поддомене форума. А именно был выставлен во внешку тестовый стенд с новой версией форума и со стандартным паролем админа. Самое ужасное, было в том, что все поддомены запущены от имени одного юзера, и получив админ доступ к тестовому форуму — я получил доступ к файлам всех поддоменов. Все сообщения администрации nag.ru не получили ответов. Толи письма улетели в спам, толи не читают их. В любом случае сейчас эта дырка закрыта.
Итог: Дырка закрыта. Администрация проигнорировала все письма.
Опять же банальный мисконфиг. Была доступна админка без пароля. В админке можно было менять текст указов, писать новые + техническая информация о системе.
Итог: На мое письмо также не ответили, однако дырка была закрыта в течении суток.
Также банальный случай пофигизма администрации. Оставили дырявую версию vbulletin на 3 месяца, после того как появились публичные эксплоиты.
Самое печальное, что данные ресурс используют очень много тех. специалистов крупных компаний, и пароли там хранились в открытом виде.
Итог: Письма проигнорированы, уязвимость исправлена спустя долгий срок.
Опять же мисконфиги были найдены на демо стендах продукта parallels plesk panel. Сама панель никаких уязвимостей не имела. И сразу надо заметить стенд стоит на виртуальной машине, которая автоматически раз в несколько часов возвращается к исходному состоянию. Но в демо версии не ввели достаточно ограничений на возможности панели. В итоге на windows сервере был получен rdp доступ с администраторскими правами. Что странно на сервере был интернет, и доступна для записи папка на управляющем сервере.
Мной было отправлено письмо и почти сразу получен ответ. После беседы в скайпе были предложены варианты, как ограничить демо панель.
Итог: Уязвимость исправлена частично. В качестве премии были выданы 2 лицензии на продукт parallels desktop.
Это сайт одного из бывших филиалов Смартс, а ныне Ростелекома. Также мисконфиг, в виде не закрытой папки phpmyadmin, и пароля в базу root:root
Все это позволяло получить доступ к билингу, т.к. имелся еще целый ряд ошибок в настройках прав доступа в ОС.
Итог: Уязвимость исправлена за «спасибо».
Это сайт одного из региональных операторов интернета. В ходе исследования их личного кабинета, была найдена sql инъекция в post запросе проверки пин-кодов карт оплаты. В результате хитрого написания запроса — получилось посимвольно просматривать любые значения в базе. Как оказалось все пароли пользователей хранятся в открытом виде.
Итог: Пришлось 2 раза звонить. Первый раз попав на первую линию тех. поддержки получил ответ «Да мне все равно. Если у вас работает интернет — то до свидание». На второй звонок получилось пробраться до тех. отдела. Уязвимость исправили за «спасибо».
Чтобы не повредить имидж компании, данная история не будет содержать названий или ссылок на компанию.
Все началось с того, что решил я воспользоваться их услугами. И т.к. туроператору доверяются все паспортные данные — мне было интересно проверить их на прочность. Как оказалось сайт сделанный на яве — имеет такое количество ошибок, что просто страшно представить. Многие страницы при заведомо не верных входных данных — сорили стек трейсами, с раскрытием путей. На tomcat не была закрыта папка web-inf, которая позволила получить все адреса сервлетов. Мало того там же был логин и пароль от базы оркала. Рядом валялась тестовая директория с мусором и открытым индексом файлов. Среди мусора была найдена даже учетка админа с паролем к сайту. Но апогей был в другом. На соседнем хосте, предназначенном для трансляции видео с разных курортов — был обнаружен не закрытый менеджер оракла, к которому подошли пароли, найденные в web-inf. В итоге был получен полный доступ в базу клиентов, сканам документов, платежным ведомостям и т.д.
Т.к. это один из крупнейших туроператоров РФ — в срочном порядке были попытки связаться с администрацией. 3 моих письма просто проигнорировали. Когда я прислал скриншот из их оракла — мне наконец-то ответили.
Итог: большая часть уязвимостей была устранена. Доступ к базе был закрыт. Мне сделали скидку более 80% на мой тур.
В один прекрасный день мне позвонили и предложили работу в области IT безопасности в "*Газ". Правда узнав, что я не проживаю в Москве — несколько расстроились. Однако сказав, что меня им рекомендовали, как хорошего специалиста (кто рекомендовал так и не понял) предложили заочно протестировать их ресурсы на прочность.
В результате анализа был найден очередной мисконфиг на фтп сервере. Которой позволял анонимно подключатся. На данном фтп были найдены свежие бекапы 1c, зарплатные ведомости, персональные данные сотрудников, свежие бекапы конфигов разных систем с паролями внутри.
Итог: Уязвимость быстро закрыта с получением рекомендаций.
Помимо случаев приведенных в статье — есть еще масса случаев, о которых меня настоятельно просили не писать. Однако по своему опыту могу сказать — что осознание важности IT безопасности почти у всех компаний — отсутствует (не берем в зачет крупнейших интернет гигантов). Некоторые даже негативно реагируют на предоставление им информации. А вас, как IT специалистов разных направлений — призываю всегда помнить: верное разграничение прав доступу и внимательная работа с конфигами — это 50% защиты ресурса.
Автор: MrGrey
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/55412
Ссылки в тексте:
[1] aa.mail.ru/news/309936.html: http://aa.mail.ru/news/309936.html
[2] Источник: http://habrahabr.ru/post/213217/
Нажмите здесь для печати.