ウェブセキュリティのトラブルまたはアメリカで最も安全な銀行

セキュリティホールに関する悪いニュースに対するロシア企業の反応に関するMrGreyの記事に触発され、彼は5つのコペックを追加することを決めました。世界の。



それはすべて、クレジットカードの登録に関するお祝いのメールから始まりました-タイプミスの結果、リンクが機能しませんでした(http://の後に余分なスペースが追加されました(%20))。 このサイトでテクニカルサポートのメールを探すことに失敗しましたが、オンラインチャットで書くことほど良いものは見つかりませんでした。もちろん理解できませんでした。



動揺して、インラインCSSのハッシュとjsのクラウ​​ドであるコードを見て、私はGoogleに私の新しい銀行について意見を求めることにしました。 site:bankname.com filetype:txtのようなものを検索した後、ソースバックエンドコードが開かれた〜20ページを見つけました。 ShortTagsを含めなかった場合、つまり、すべてのディレクトリの構造とコードの記述方法がすぐに開かれたように見えました。



また、Googleはこのすばらしい銀行の膨大な数のスタックトレースバックページを示しました。トレースバックは、どのサーバーが奇跡バンク、どのサービスおよびライブラリを使用しているかをよく理解しました。



これをすべて収集したので、ドメイン名のwhoisを介して決定されたすべての電子メール(他の電子メールを見つけるのは不可能です)にそれらをどのように見つけたか(Googleのリンク)を示して、これらすべての問題を説明しました。 もちろん、答えはありませんでした。コードは表示され、トレースバックは構造を示しました。 しかし、これは私の銀行です。考えて、すべてをまとめて、Facebookの奇跡の銀行のページに書いて、いくつかのツイートを送信しました。 答えはありません。



欲求不満、さらには怒って、私はコミュニティフォーラムwonderbankを見つけ、そこでエラーに関するトピックを作成し、すべてを説明しました...答えはありませんでした。

時々、トピックを見に行ったときに、トピックの隅に、ページの読み込み回数を愚かにカウントする面白いカウンターがあることに気付きました。



次に、考え直さずに、バックグラウンドでページを更新するコードを数行書きました。



#!/bin/bash

for i in {1..99999999}

do

echo "done $i"

wget -qO- topicUrl &> /dev/null

done









60,000の「ビュー」で、2人の従業員はすぐにすべてを渡すと答え、応答しなかったことを恥じました。

まあ、私はうれしいです...しかし、彼らのコミュニティフォーラムを使用する過程で、私はいくつかの小さなしみ/説明を見つけました。



それから彼は、一般的に、この非常にフォーラムでの写真の挿入が何らかの形で無効化されているため、誤って無効化されていることを発見しました。 すべての管理者がこれを実証し、Operaがどのようにjsを写真で実行できるかを説明しました。



jsの実行に加えて、何らかの理由で画像が追加されたサイトにリンク/リンクされていました。 そして、もちろん、このサイトへの移行は警告なしに行われます(私の意見では、他人のデータを盗むための優れた方法です)。



別の興味深いフォーラムのアイデアは、制御されていないフォントサイズで、これはどういうわけか見苦しいだけです。 この段階で誰かが私に欠点を見つけているように見えるかもしれませんが、紳士、これは銀行です-巨大な国際銀行(私は個人的にはすべての例であり、その逆ではないと思います)。



これに対する回答はありませんでした。 1石で数羽の鳥を殺すことにしたので(クールな銀行で仕事を見つけ、銀行の技術者にトラブルについて話してください)、サイトで公開されている空席の1つについて履歴書を提出しようとしました。 もちろん、私は成功しなかったと思います。システムには入力が必要で、そのフィールドはhtml形式ではありませんでした。



私が仕事に応募したとき、私は確かに検索し、多かれ少なかれ私に適したものを見つけました-これはLAMPです。 私の観察から判断すると、奇跡の銀行はそれを使用しませんでした(外部に公開されていたもの-すべてがJavaに見えました)。 考えた後、私はGoogleにPHPはどこかを尋ねることにしました。 GoogleはWonderbankのサブドメインの1つでWordpressについて話しました。 そこに行くと、オープンなwp-admin(ブルートフォースからの保護なし)と、全世界に知られているxssを備えた時代遅れのWordpressを発見しました。



この銀行の無力さに興味がある間、私は13の投稿を書き、2つの応答を受け取りました。 答えは、情報が送信されるということだけでした。 そして、ほとんどの問題がすでに解決されているという事実から判断すると、情報は本当に送信されましたが、誰も私に何も言わなかった。



したがって、セキュリティに対する態度の問題はグローバルです。



コミュニティバンクフォーラム



All Articles