一部の企業は、「イメージ」を損なわないように、記事で名前を挙げられません。
脆弱性が見つかったリソース:aa.mail.ru、nag.ru、graph.document.kremlin.ru、sencha.com、parallels.com、volgogsm.ru、next-one.ru、およびツアーオペレーターX、およびガスプロムの子会社から。
長い間、私はさまざまなリソースのセキュリティ研究を行うのが好きでした。 私はそれらのほとんどを自分で使用しなければならなかったので、私のデータが安全かどうかを調べるのは興味深いものでした。
1. aa.mail.ruの脆弱性
おそらく誰もが知っているように、mail.ruはArcheAgeゲームを開始しました。 ここで、これが良いかどうか、そして打ち上げがどれほど成功したかについては議論しません。 サイトaa.mail.ruでは、ギルドの登録および検索サービスが利用できました。 最も一般的な脆弱性は、get検索クエリでのSQLインジェクションです。 また、たとえばIPを禁止するクエリフィルターが使用されますが、たとえばpost / getリクエストの「ユニオン選択」では、それらをバイパスして、他のサイトテーブルからデータ出力を取得できます。
検出後すぐに、私はsupport@corp.mail.ruおよびsecurity@corp.mail.ruメールボックスに書き込みました。 しかし、1日たっても、システムの自動チケット番号を除いて、私の手紙には答えがありませんでした。 脆弱性はまだサイトにありました。 その後、aa.mail.ruフォーラムでmail.ru管理者の個人的なメッセージを書きました。 それらにそれらを書く必要があると答えた。 mail.ruだけでなく、彼らのゲーム専用のサポート。 そして彼らはそこにチケットを書くために送った。 まあ、私はそれを書いた。 チケットは、ギルドサービスが終了することさえなかったが、もう1日間「稼働中」でした。 そして昨日-最後にそれは閉じられました。 さらに、クロージャーの文言はaa.mail.ru/news/309936.htmlです。 そして今、主なことは、私のチケットがまだ「仕事中」にハングしていることです。
結論:穴は閉じられています。
UPDは、 以下のコメントから相互に有益な条件に同意しました。
2. nag.ruの脆弱性
むかしむかし、nag.ruの耐久性をチェックすることにしました。 私の果てしない悔しさに、フォーラムのサブドメインでありふれた設定ミスが見つかりました。 つまり、フォーラムの新しいバージョンと管理者の標準パスワードを使用したテストスタンドが展示されました。 最悪なのは、すべてのサブドメインが1人のユーザーに代わって実行され、テストフォーラムへの管理者アクセスを取得した後、すべてのサブドメインのファイルにアクセスできるようになったことです。 nag.ru管理からのすべてのメッセージは応答を受け取りませんでした。 Tolleyの手紙はスパムに飛び込み、フェルトはそれらを読まなかった。 いずれにせよ、この穴は閉じられました。
結論:穴は閉じられています。 政権はすべての手紙を無視した。
3. graph.document.kremlin.ruの脆弱性
再び、ありふれた設定ミス。 パスワードなしの管理パネルが利用可能でした。 管理パネルでは、法令のテキストを変更し、システムに関する新しい+技術情報を書くことができました。
結論:私の手紙にも答えられなかったが、穴は1日間閉じられた。
4. sencha.comの脆弱性
また、管理に無関心の些細なケース。 彼らは、公開されたエクスプロイトが出現してから3か月間、vbulletinの漏洩バージョンを残しました。
悲しいことに、多くの人がこのリソースを使用しています。 大企業のスペシャリストであり、パスワードは平文で保存されていました。
一番下の行:文字は無視され、脆弱性は久しぶりに修正されます。
5. parallels.comの脆弱性
この場合も、Parallels pleskパネル製品のデモで設定ミスが見つかりました。 パネル自体には脆弱性はありませんでした。 また、スタンドが仮想マシン上にあることにすぐに気付くはずです。仮想マシンは数時間ごとに自動的に元の状態に戻ります。 しかし、デモ版では、パネルの機能に十分な制限が導入されていませんでした。 その結果、Windowsサーバーで管理者権限を持つrdpアクセスが取得されました。 サーバー上で奇妙だったのはインターネットで、管理サーバー上のフォルダーは書き込み可能でした。
私は手紙を送り、ほとんどすぐに応答を受け取りました。 Skypeでの会話の後、デモパネルを制限する方法に関するオプションが提案されました。
結論:脆弱性は部分的に修正されました。 ボーナスとして、Parallelsデスクトップ製品の2つのライセンスが発行されました。
6. volgogsm.ruの脆弱性
これは、Smartsの以前の支店の1つであり、現在はRostelecomのサイトです。 また、閉じられていないphpmyadminフォルダーの形式の設定ミスと、rootへのパスワード:rootデータベース
これにより、請求へのアクセスが許可されました。 OSのアクセス権の設定にいくつかのエラーがありました。
結論:この脆弱性は「ありがとう」のために修正されました。
7. next-one.ruの脆弱性
これは、地域のインターネットオペレータの1つのサイトです。 個人アカウントの調査中に、支払いカードのPINコードを確認するためのポストリクエストでSQLインジェクションが見つかりました。 リクエストを巧妙に作成した結果、データベース内のすべての値を1文字ずつ見ることができました。 結局のところ、すべてのユーザーパスワードはクリアテキストで保存されます。
結論:2回電話しなければなりませんでした。 それらの最初の行に最初にヒットしたとき。 サポートは「はい、気にしません。 インターネットがあれば、さようなら。」 2番目の呼び出しで、私はそれらに到達することができました。 部門。 この脆弱性は「ありがとう」のために修正されました。
8.「ツアーオペレーターX」の脆弱性
会社のイメージを損なわないために、このストーリーには会社への名前やリンクは含まれません。
それはすべて、私が彼らのサービスを使うことにしたという事実から始まりました。 そしてなぜなら すべてのパスポートデータはツアーオペレーターに信頼されています-私は彼らの強さをチェックすることに興味がありました。 判明したように、Javaで作成されたサイトには非常に多くのエラーがあるため、想像するのは怖いだけです。 入力データが明らかに間違っている多くのページ-パスの開示とともに、スタックにトレースが散らばっています。 Tomcatでは、web-infフォルダーが閉じられていなかったため、すべてのサーブレットアドレスを取得できました。 さらに、オークの拠点からユーザー名とパスワードもありました。 近くには、ゴミとオープンファイルインデックスを含むテストディレクトリがあります。 ゴミの中には、サイトへのパスワードを持つuchetka管理者が見つかりました。 しかし、クライマックスは異なっていました。 さまざまなリゾートからのビデオのブロードキャストを目的とした隣接ホストで、閉じられていないOracleマネージャーが発見され、web-infで見つかったパスワードが接近しました。 その結果、顧客ベース、ドキュメントスキャン、給与などへのフルアクセスが取得されました。
なぜなら これはロシア連邦最大のツアーオペレーターの1つです。行政に連絡する緊急の試みがありました。 私の手紙の3つは単に無視されました。 私が彼らの神託からスクリーンショットを送ったとき、彼らはついに私に答えた。
結論:ほとんどの脆弱性が修正されました。 データベースへのアクセスが閉じられました。 ツアーで80%以上の割引を受けました。
9.ガスプロムの子会社の脆弱性-簡潔にするために、その組織を「* Gas」と呼びましょう
ある晴れた日、彼らは私に電話をして、「* Gas」でITセキュリティの分野で仕事を提供しました。 確かに、私がモスクワに住んでいないことを知ったとき、私は少し怒っていました。 しかし、彼らは私に彼らを勧めてくれたと言って、良い専門家として(それを理解しないことを勧めた)、彼らは不在で彼らの強さをテストすることを申し出た。
分析の結果、次の誤設定がftpサーバーで見つかりました。 匿名での接続を許可しました。 このftpには、新しいバックアップ1c、給与、従業員の個人データ、パスワードを含むさまざまなシステムの構成の新しいバックアップが見つかりました。
結論:脆弱性は推奨事項ですぐに終わりました。
おわりに
記事で説明したケースに加えて、私は書くことを避けたほうがいいケースがたくさんあります。 しかし、私自身の経験から言えば、ほとんどすべての企業でITセキュリティの重要性を認識していないと言えます(最大のインターネット大手は考慮していません)。 情報を提供することに否定的に反応する人もいます。 そして、あなたは、さまざまな分野のITスペシャリストとして、常に覚えておくことをお勧めします。アクセス権の正しい範囲と設定の注意深い作業は、リソースの保護の50%です。