- PVSM.RU - https://www.pvsm.ru -
Сегодня я хочу рассказать о том, как в далеком 2012 году я нашел уязвимость в системе регистрации доменов компании
[2]
В сентябре 2012 года REG.RU [3] стали регистрировать домены в зоне ru.com и разослали всем своим клиентам письма с предложением бесплатно получить на первый год домен в новой зоне с именем уже зарегистрированного домена в зонах ru, рф, su, com, net.
Получить бесплатный домен оказалось довольно просто: нужно было перейти по ссылке из письма, ввести код активации домена, и домен бесплатно регистрировался на год.
Перед регистрацией домена система предлагала ознакомиться с контактными данными “оригинального” домена на которые будет зарегистрирован подарочный домен, но эти данные были открыты только для просмотра без возможности редактирования поэтому смысл их показа был непонятен. Однако, в этом и состоял первый баг: регистрация нового домена была доступна по ссылке вида https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX
, и ID услуги можно было просто перебрать, увидев, на кого зарегистрирован тот или иной домен.
Специалисты
Этот баг поправили довольно быстро, и теперь система показывала только первые 4 символа, что было намного лучше, хотя человек с именем “Хан Соло” был бы не очень доволен.
Следующий баг — это возможность зарегистрировать домен без ввода кода активации. Чтобы все владельцы доменов разом не побежали регистрировать бесплатные домены, https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX
, увеличив ID услуги до того значения, когда система еще не успела выдать такому домену код авторизации и зарегистрировать домен с пустым кодом.
В регистрации такого домена не было ничего плохого, но после регистрации становилось видно полные контактные данные (ФИО, адрес и телефон) владельца “оригинального” домена без скрытых символов. Исправить данный баг было несложно, просто добавив при регистрации проверку на непустой код авторизации, что специалисты
Через некоторое время я нашел еще один баг, но он требовал чуть большего количества действий, чем просто перебор ID услуг. Для упрощения процедуры регистрации подарочных доменов
В 2012 году не было закона о защите персональных данных в текущей редакции, и у многих доменов в зоне ru можно было посмотреть контактный e-mail адрес через Whois. На момент нахождения этого бага адрес электронной почты уже был скрыт, но через сервисы просмотра истории Whois e-mail можно было посмотреть, и, с большой вероятностью, он был актуальным. После этого нужно было попробовать зарегистрироваться в системе
Если быть кратким, то порядок действий такой:
https://www.reg.ru/domain/new/get_free_ru_com?service_id=XXXX
и смотрим название домена с этим ID, например, habr.ru.com.
Ошибки, которые были допущены компанией
Заглядывайте на VPS.today [4] — сайт для поиска виртуальных серверов. 1400 тарифов от 120 хостеров, удобный интерфейс и большое число критериев для поиска самого лучшего виртуального сервера.Автор: leonid239
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/298658
Ссылки в тексте:
[1] REG.RU: https://www.reg.ru/?rlink=reflink-717
[2] Image: https://habr.com/company/poiskvps/blog/429280
[3] REG.RU: https://www.reg.ru
[4] VPS.today: https://vps.today/
[5] Источник: https://habr.com/post/429280/?utm_campaign=429280
Нажмите здесь для печати.