Clever Geek Handbook

何らかの理由で引き続き発生する5つの明らかな間違い

この記事では、サイト上の1つのエラーメッセージから、社内の情報(およびそれ以上)に誤ってアクセスした方法を説明します。 これは1つのブラウザのみを使用して実行できることに注意してください。



プロローグ



サイトは時々落ちる。 これが起こります。 しかし、記事で説明されていることは起こらないはずです。



#1



最近、ある会社のWebサイトにアクセスしましたが、代わりにエラーメッセージが表示されました。







サイトがクラッシュした理由は別の話です。 開発者の良心によるものだとしか言えません。



最初のエラー(あまりにも明らかですが、...) :エラーメッセージを表示しています。 はい、誰もが実稼働環境でデバッグをオフにする必要があることを知っています。 しかし、地獄、なぜブラウザにエラーメッセージが定期的に表示されるのですか?!



#2



それでは、この投稿から何を学ぶことができますか? はい、SOAPサービスのパブリックアドレスも同様です。 まあ、まだ公然と利用できるとは考えられませんが、念のため、アドレスバーにコピーして、利用可能なメソッドのリストを取得してください。 多くの方法がありますが、それらのほとんどは明らかに内部使用のためのものです。 それぞれに、要求の説明と応答の例が添付されています。 多くの場合、承認(要求内のユーザー名とパスワードの転送)が必要ですが、すべてではありません。 名前を話す1つのopenメソッドを選択し、ブラウザーで直接リクエストを作成します。 はい、多くの人が組み込みのFirefox Web Developerをscります(そして理由もあります)が、単純なタスクには非常に適しています。







2番目の間違い :一般に利用可能なサービス。 それが、このサーバーが世界を見ている理由です。 リモートアプリケーションを使用しますか? OK、それから承認して閉じます。 または、少なくとも行動の詳細な指示を伴わないでください。



#3



サーバーからの回答を見てみましょう。 見やすくするために、結果のXMLをすべて同じブラウザーで開きます。







これは、会社の従業員のリストであり、200個未満のアイテムです。 素晴らしい、ガイドを探しましょう。 控えめに言っても、会社の最後の人ではありません(スクリーンショット)。 これで、彼のメールと、SotrudnikPassword要素のBase64に疑わしい類似のものがわかりました。 多くのオンラインデコーダーのいずれかでパスワードをデコードします。



3番目の間違い :クリアテキストのパスワード。 たとえパスワード(ハッシュ)を外に出すべきなのかという質問を出しても、少なくともハッシュがない理由はまだ明らかではありません。 または、開発者はBase64がこれに適していると思いますか?



:エラー#4および#5は、もはやサービスのセキュリティとは関係なく、個人のセキュリティと関係があります。 欠点は開発者ではなくユーザーにありますが、私は彼らがa)このストーリーの一部b)当たり前のことであり、誰にとっても明白であり、しばしばコミットしているため、それらを残すことにしました。



#4



受け取った情報で何ができるのか見てみましょう。 指定されたメールにアクセスしてみましょう。 DNSレコードを表示するために最初に利用可能なサービスでドメインを確認します。 MXから判断すると、これはGMailです。 さて、デコードされたパスワードを使用してログインしてみましょう:







パスワードが正しいと言っても驚かないでしょうか?



4番目のエラー :異なるアカウントの1つのパスワード。 あなたの愚かさや他の人(この場合のように)のために漏れる場合、それがどのくらいの長さで、その中のいくつの文字が異なるレジスタと数字であっても関係ありません。



#5



パスワードは近づいていますが、Googleはユーザーの安全を警戒しています-別のIPからログインしていることを確認し、追加の確認が必要です。







彼が提供する最後のオプションは、あまりにもシンプルに見えます。 Google、本気ですか?







この場合、かなりまれな姓があったため、会社名を示す必要さえありませんでした。 見つかった電話番号を入力してみましょう。







ぴったり。 企業のGMailが開きます(それに応じて、Googleタスク、Googleドライブ、その他のサービス)。



5番目の間違い :承認/制御質問の追加要素として、簡単に認識できる情報(この場合、他の人やインターネットで知られている電話番号)の使用。 母親の旧姓や生年月日を見つけるのは難しいですか? では、なぜ多くのサービスと銀行がデフォルトでそれらをまだ使用するのでしょうか?



エピローグ



この人に、パスワードを変更する必要性についての手紙を書きました。 また、開発者に脆弱性を報告し、それらを修正する時間を与えることも習慣的です。 しかし。 再読み込みエラー#1-#3。 全員、サーバー、すみません、裸で表示される転倒に関するメッセージがあることを彼らに知らせる必要があります。 彼らはインターネット上で見て、パスワードはプレーンテキストでない限り、最初のカウンターに与えられますか? これは本当に、企業レベルを志す商用開発者に思い出させる必要がありますか? 知識がなくても動作するようにすべきではないほど単純で明白なものについては? 彼らがそれを読んで、自分自身を認識することを願っています 私は彼らにただ一つのことを伝えたい:「みんな、職業から抜け出せ!」



私について :開発者ではなく、セキュリティの専門家でもありません。一般的にIT側でもありません。 高度なインターネットユーザーです。


More articles:


All Articles