本当にうんざりしました。 私はソーシャルネットワークのすべてのテープを似たような性格のものから一掃しました。 コーチング、モチベーション、楽な生活について放送する性格。 そして、あなたは何を知っていますか? このゴミなしで最新の状態に保つことが本当にクールになりました! ソーシャルネットワークにアクセスすると、猫とオウムだけがいます。
しかし、物語はそれについてではありません。 ある日、私は火傷を負い、私は考えました-あなたがそんなに迷惑な人々の本当の収入を取って見たらどうでしょうか?
だから私はそれを考えてやった。 最初はもっと正確に。 しかし、それから彼は、notを壊さないように考えて、時間内に止まりました。 ロシア連邦の272刑法を忘れないでください!
物語は、私たちの時代ではただの海(プラナ、ハーバライフ、オリフレーム、nlインターナショナルなど)である1つのネットワーク会社についてです。
会社の名前は意図的に隠されており、性格は事件を公表したくないのでブロックされています。 原則として、そうです。 私が見逃した他のことを誰が知っているか...さて、読者として、この例では、何をする価値がないか、どのような間違いを犯すべきではないかを理解できます。
行きましょう。 私たちの目標は、会社と幸せで輝かしく生きる人々に関する情報です。
もちろん、ソーシャルネットワークから始めます。 ソーシャルネットワークでどれだけ興味深いものが見つかるか想像できません。
1つの重要なサイトからすべての重要な情報を取得できることがわかりました。 このサイトは、収入を示す人々のInstagramストーリーで常に紹介されています。 「犠牲者」を捕まえるためには、この「犠牲者」にならなければなりません。
これを行うには、実験を行うアカウントを登録します。 登録する紹介リンクを見つけることで成功し、匿名であることが判明しました。
登録後、システムへのログインとパスワードに関する情報が記載された電子メールを受け取ります。 はい、はい-パスワードもメールに含まれていました。
この手紙を受け取って、私はすぐにRU-Centerパスワードの状況を思い出しました。
わかった もちろん、パスワードが簡単に散らばってしまうのは悪いことです。 しかし、これは何の助けにもなりません。 被害者のメールボックスをハッキングしない限り。
さらに進んでいます。 いくつかのログインパスワードを取得しました。 ログインしましょう。 ここで、このパスワードは一度限りの強制的な変更を必要としないことを理解しています。 さらに、パスワード変更メニューは、ある種の「固有の」パスワードのインストールを意味するものではありません。 そして、数字からパスワードと、明確に固定された金額を書き留めてください。 この組み合わせは、ブルートフォース攻撃によって簡単に選択されます。
わかった ペンを使用して、ログインフォームでパスワードのブルートフォースへの耐性を確認します。 ここで、すべてがそれほど単純ではないことがわかります。 アカウントは完全にブロックされているため、何度か試行に失敗すると、正しいパスワードを使用してもログインできません。 録音は数分間ブロックされます。 そして、これはすでにブルートフォース攻撃を行うことが不可能な状況を作り出しています。
そして、私は私の仕事で最も愛されている人を覚えています。 モバイルアプリについて。 私は最近それらの多くを見てきました。 そして、私はとても率直なゲームを見つけました。 そして、ハードコードされたパスワード、およびユーザー間の境界と特権の欠如。 幸運にも、私はこの会社からいくつかのアプリケーションを見つけました。 いずれかのアプリケーションでは、同じユーザー名とパスワードのペアを使用することができました。
もちろん、アプリケーションの機能は私たちに無限の可能性をもたらしませんでした。 ただし、ログインエンドポイントは既に完全に異なる方法で使用されています。 検索中にアカウントを明確にブロックしたものではありません。
次に、このアプリケーションのエンドポイントを介してアカウントにブルートフォース攻撃を実行するとどうなるかを確認することにしました。 パスワードはどれくらい早く見つけることができますか? サーバー障害なしにいくつのスレッドを実行できますか? 注意深くシステム管理者が私を禁止するのはどれくらいですか?
もちろん、結果は興味深いものでした!
パスワード推測は、いくつかのスレッド(1秒あたり数十のオプション)で非常に速い速度で機能しました。 さらに、サーバーは、実際には、増加した負荷から500エラーを返しませんでした。 そして、私は禁止されていませんでした。 攻撃は数時間にわたって行われました。 そして、パスワードの取得に成功しました。 実際、私のメール受信ボックスに落ちたのは同じパスワードでした。 システム自体に、可能性の巨大な機能が明らかになりました。 そして、このすべての後、私は会社のリスクの評価を開始し、セキュリティレポートを提示しました。 深く掘り下げるほど、攻撃の成功の結果の深刻さを理解しました。
そして、何ができるのでしょうか?..
- システムユーザーの個人データ(名前、電話、パスポートデータ、住所)を収集します。
- ユーザーデータのすべての財務活動を収集します。
- システム内の個人的なやり取りからユーザーに関する機密情報を収集します(プライベートメッセージ)。
- ユーザー間で資金を移動します。 その後の資金の引き出し。 さらに、これは非常に楽しい形式で行うことができます。 1つのハッキングされたアカウントから損害の量を理解し、トランザクションを見つけてロールバックできる場合、いくつかのハッキングされたアカウントを介してこれを行うことはほとんど不可能です。 実際、一種のマネーミキサーです。 その結果、会社の経済的損失。 そして、私を信じて、お金はそこにありました...
- ユーザーの財務活動の開示による評判の損害。
私はすでにあなたの質問を感じています-あなたは何を恐ろしいですか? 他のユーザーのログインをどのように知っていますか?
そして、あなたへの私の答えはここにあります-ソーシャルネットワーク! すべてが共有されます。 また、ログイン形式も非常に簡単です。
最も困難なことは、それを排除するために、これらすべてに関する情報を送信できる人を見つけることでした。
このオフィスで最も重要なものを見つけました。 彼はリーダーと考えられていたようです。 しかし、彼はコミュニケーションに非常に消極的でした。 技術的な詳細を送信できるメールアドレスを破棄しました。 そして、私の最後の投稿を決して読んでいない。 メールにも返信しませんでした。
それは気にしませんでした-私は期待していませんでした。
ソーシャルネットワーク、友人、友人、さらには友人を通して、私はかつてこの会社の開発者であった人物を発見しました。 彼はすでに会社のITインフラストラクチャを担当している別の人に話してくれました。
ちなみに、私はこの人に到達したとき-2-3日が経過しました。 男は適切に反応した。 すべての問題について非常に冷静に話しました。 彼は私が説明した点を否定しなかった。
また、私が意図的に作成した異常なトラフィックのために、数日前に既存の抜け穴を塞いだことも注目に値します。 そしてこれは素晴らしいです。 彼が何も気づかなかったらクールではないでしょう。
問題は解決しました。 誰もが幸せです。 面白い体験ができました。 同社は貴重なセキュリティレポートと人生の教訓を受け取りました。
そして、報酬について質問がありますか? 私は偉大な人からの引用で答えます-「お金はありませんが、あなたは待っています。」 実際、システム管理者は、テストアカウントに少額のお金を振り込むことを提案しました(記憶力が十分であれば、TR 5)。
しかし、本質的に、これらの仮想ツールを撤回することはできませんでした。 彼の提案で、私は単にこの「報酬」をこの会社で「働く」友人に譲渡するように頼みました。 彼は、会社の甘い製品にお金を使うことができました。 それで、私の要求で、お菓子は孤児院に行きました。
結論:
- 「おもしろい」ものを見つけたときに深く入りすぎないでください。
- 約272を忘れないでください。また、「ハッキング」についてのメッセージに満足していない可能性があるあまり適していない人と連絡を取るリスクについても忘れないでください。 特定の例では、私の対話者は面白かったです。
- 開発者として、異なるエンドポイントAPIを介して承認/認証機能を実装しないでください。 システムにはコミュニティが必要です。 これまたはその機能の回避策はありません。 すべてが単一の保護を備えた単一のエンドポイントで機能するはずです。 そうでなければ、強盗があなたのところに来た場所を探すのにうんざりするでしょう。
- 自分で生成したユーザーには単純なパスワードを使用しないでください。 適切なパスワードは、ユーザー自身が設定する必要があります。
- パスワードは常に暗号化し、ソルトし、プレーンテキストで保存しないでください。
- 登録時にシステムからパスワードを電子メールで渡さないでください。 ユーザーが電子ボックスの制御を失うと、システムの制御を失います。
- システムでログインジェネレーターを使用しないでください。 システムへのログインも一意でなければなりません。
- 許可機能を実装するときは、ブルートフォース機能に対する保護を常に組み込みます。
私にはすべてがあります。 コメントや提案を歓迎します。 また、何か面白いものをテストするための提案も受け付けています。