Platiusの脆弱性:任意のアカウントへのアクセス

先週、 Platiusとのインタビューにを招待する手紙が来ました。 ポジションは私にとってのように書かれており、電話が行われた後、面接の予約がとられました。 準備のために夜を過ごしたので、会社が同じことをしていることを勉強することにしました。



ユーザーのアカウントへの無料アクセスを「提供」することが判明しました。







Googleの5分後、判明しました:





プロモーションコードを試してみましたが、面白いものは見つかりませんでした。 承認と登録がどのように行われるかを確認することにしました。 電話番号を入力すると、キャプチャを入力するように求められます。 あなたの背後にはすでにいくつかのキャプチャを自動的に渡す経験がありました。 この場合、captcha実装の内部を見ることができず、OCRアルゴリズムも必要ありませんでした。 画像上の数字は常に次のとおりです。







典型的なキャプチャ



つまり、キャプチャを渡すためにコントロールポイントのペアをチェックするだけです。 これが最初の弱点です。 しかし、判明したように、キャプチャは渡すこともできません。



キャプチャを確認すると、オフィスに入るためのパスワードを含むSMSが指定された番号に届きます。 しかし、明らかに、多くのキャプチャセッションは合格とマークされておらず、新しいパスワードを任意の電話番号に無制限に送信できます。 したがって、送信モジュールで攻撃を開始することが可能です。



署名「SMSが届かない場合は、パスワードを再度要求してください。 これは10分で実行できます。単なるフィクションです。新しいパスワードを要求するための時間制限はなく、要求するための機能もありません。



私たちはケーキの上のチェリーに目を向けます:オフィスでの承認のためのパスワードに。 パスワードは4桁の10進数です。 無効な人を何人か運転させようとしました-再試行するように招待されました。 私はそれを試してみました:私自身のように、そのようなパスワードの寿命のように、試行回数の制限のような匂いはしません。 アカウントを「ハッキング」するスクリプトをすばやくロールアップしました。

seq --equal-width 0 9999 | parallel 2> /dev/null -j 0 --halt 2 -q bash -c " header=\$(curl 'https://platius.ru/ru-RU/Login/PasswordStep' --data 'Login=%2B7xxxxxxxxxx&Password={}' -kis | tac | tac | head -n 1); if [[ \$header == *\"302\"* ]]; then echo {}; exit 1; fi"
      
      







実験では、3日間のパスワードがログインに対してまだ有効であることが示されました。 ご想像のとおり、認証に成功するとパスワードは使用済みとしてマークされないため、攻撃者はSMSの所有者に迷惑をかけることなく任意のオフィスに入ることができます。



オフィスにアクセスすると、さまざまな個人データにアクセスしたり、場合によっては支払いにアクセスしたりできます。支払いは、オフィスにある銀行カードを介して渡されます。 私はこの部分をテストすることを敢えてしませんでした。苦労して稼いだお金をそのような信頼できないものに結びつけるのは怖いからです。





このすべてにアクセスできます。



アプリケーションセキュリティの重大な欠陥についての知識を持つインタビューに初めて行ったとき-興味深い経験でした。 アドレナリンの波は穏やかな時期に変わります。 テストとタスク(iikoから継承された)を使った儀式ダンスの後のインタビューで、見つかった脆弱性について話しました。 確かに、これは重大なこととは見なされておらず、穴を塞ぐことを急いでいる人はいません。 どのような動揺。



エピローグ


ほぼ2週間後、何も修正されていません。 結局のところ、彼らにはバグバウンティはなく、一般的にすべてが悲しいです。 私の意見では、顧客に多大な評判の問題や金銭的な損失をもたらす可能性があることを、なぜ彼らが忘れているのかは明らかではありません。



プラチナのオフィスで電話番号を検索する問題は未解決のままですが、このデータを取得するための直接的または間接的な方法があると確信しています。 たとえば、Platius VKontakte グループのようなプロファイルで 。 最初に攻撃された番号にSMSを送信せずにモバイルアプリケーションを入力するという問題もあります。 ほとんどの場合、タスクはローカルアプリケーションストレージの代替になります。 したがって、研究者には好転する場所があります。



All Articles