- PVSM.RU - https://www.pvsm.ru -
Несмотря на публикацию «Критическая уязвимость в безопасности на fl.ru» [1], этот сервис продолжает раздавать всем желающим информацию, которую следовало бы закрыть от публичного доступа.
Вы можете легко получить доступ к паспортным данным, адресу регистрации, почтовому адресу, E-mail, телефону и другой информации о пользователях Fl.ru, в том числе финансовой! Причем не только о фрилансерах, но и о заказчиках. Для этого не требуется применять какие-то хакерские приемы и взламывать сайт Fl.ru, достаточно просто пройти по ссылкам, проиндексированным Яндексом с указанием соответствующего реферера в заголовке запроса.
Первый вариант — воспользоваться утилитой wget как рекомендует ValdikSS [2] в своем комментарии [3]:
wget --referer 'https://st.fl.ru' http://st.fl.ru/about/documents/имя_документа.pdf
Второй вариант — установить дополнение в браузер для указания конкретного реферера для конкретного сайта.
Например для firefox можно использовать это дополнение: addons.mozilla.org/ru/firefox/addon/refcontrol/ [4]
После установки надо пройти в настройки RefControl и добавить сайт st.fl.ru, далее выбрать «Иное» и ввести в это поле
https://st.fl.ru
После нажатия «Ok» окно настроек должно выглядеть так:
Все, теперь вы можете пройти по ссылкам Приложение к ОФЕРТЕ НА ЗАКЛЮЧЕНИЕ ДОГОВОРА
или по техническим заданиям [5], а также по любым другим вариантам поиска Яндекса или Гугла по домену Fl.ru и получить доступ к информации, которая должна быть закрытой от публичного доступа!
Я думаю, что указание конкретного реферера в http запросе не является противоправным деянием. Уверен, что Fl.ru следует предпринять более серьезные действия, чем проверка реферера — для того, чтобы закрыть от публичного доступа такую критически важную информацию. Например, показывать эти документы только авторизованным пользователям.
Автор: AlexTest
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/87077
Ссылки в тексте:
[1] «Критическая уязвимость в безопасности на fl.ru»: http://habrahabr.ru/post/253943/#comment_8346599
[2] ValdikSS: http://habrahabr.ru/users/valdikss/
[3] своем комментарии: http://habrahabr.ru/post/253943/#comment_8346309
[4] addons.mozilla.org/ru/firefox/addon/refcontrol/: https://addons.mozilla.org/ru/firefox/addon/refcontrol/
[5] техническим заданиям: http://yandex.ru/yandsearch?text=%D1%82%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B5%20%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5%20site%3Afl.ru&lr=213&p=0
[6] Источник: http://habrahabr.ru/post/254141/
Нажмите здесь для печати.