私の話をお話ししますが、これはいくらか有益です。 当初、このビジネスは夏のおよそ7月から8月にかけて行われました。
人口約6万人の地方の町を想像してください。 この都市には2つのプロバイダーがあります。 1つは約8年間稼働しており、約5,000の顧客がいます。 彼とこの話について。
プロバイダーが所有するサーバーにあるリソースの1つ(またはその都市の管理サイト)を調べて、リクエスト/news.php?id=123を/news.php?id=124-1に変更しました。 結果は変更されていません-エラーはなく、同じニュースが表示されます。 次は、フィールドの数を選択するルーチン作業です。 原則として、この作業がすべてrootユーザーからは機能しなかった場合、このようなエラーは完全であり、興味深いものは期待していませんでした。 さらに、ニュース本文のタグとJavaScriptはフィルタリングされませんでした。 そして、Ostapは苦しみました...
同じサーバー上にある他のリソースも発見されました-検察のサイト、航空交通管制など。しかし、彼は脆弱性を探す時間を無駄にしませんでした。 ルートからサーバーにアクセスすると、同じ注入を通じてサーバー上のすべてのファイルとデータベースを読み取ることができました。 サーバーと開発ツールの構成ファイル、パスワードファイル、サイトのプログラムコード、請求と支払いシステム、phpmyadmin構成ファイルと認証ファイルが見つかりました。 したがって、すべてのデータベースへの便利なフルアクセスが取得されました。 プロバイダーの活動とサイトのデータベースに必要なデータは、1つのサーバーに保存されていました。
興味深い可能性のあるすべてのものがマージされました:5,000ユーザーの個人データ(契約のために提供した情報)、ログイン、パスワード、契約、アカウントのお金、および支払いカードに関する情報(額面、アクティベートされているかどうか)。 当然、ユーザーのアカウントに100万ドルを入れたり、別のユーザーを破産させたり、カードを有効にしたりできます
シェルの充填に関するさらなる作業。 放棄されたリソースが、Mambaの管理パネルで数年間誰もアクセスしなかった同じサーバー上で見つかりました。 phpmyadminを使用して、そこに管理者ユーザーを作成し、その下にログインしてシェルをアップロードし、さらにスクリプトプロキシをスローして、外部アクセスから閉じられたネットワークリソースにアクセスしました。
サーバーの周りを歩き回った後、私は将来まですべてをそのままにしておきました。 一部は自分の自由意志ではありません。 別のケースでは、部門「K」が家から3台のコンピューターを押収しただけです。 試用後6か月以上、機器を自宅に置いた後、彼らはそれを返却し、私はその殻を思い出しました。
入って来て、私は少し驚きました。なぜなら、私が予想したものの代わりに、「Vasyaにハッキングされた」というカラフルな碑文があったからです。 正直なところ、ハッカーVasyaが何もしなかったかのように、私は少し怖かった。 しかし、Vasyaは他の誰かのシェルのこのページを変更するのに十分であり、興味深いデータに到達しませんでした。
ほとんどの場合、それ以降のアクションを非難します。 はい、トピックは倫理に関するものではありません。 評判がより高いので、私は情報への完全なアクセス権と私からのエラーに関する情報を「購入」して適度な報酬を得る申し出があるという証拠とともにプロバイダーに書かれました。 答えはすぐに来ました。 この組織のコマーシャルディレクターから電話がありました。 会話が行われ、40,000ルーブルでこの情報を広めず、専門家に穴を修正する方法を説明しないという約束を求めました。 対談者は、自分の組織にデータが私に漏れていると思われるほくろがあると考えたため、反省の日を求めました。
翌日、呼び出しはなく、phpmyadminインターフェースが「消失」し、シェルとプロキシが削除されました。 ただし、注入によって、すべてのファイルを読み取ることができました。 彼は自分でセールスディレクターを呼んで、そのような酒が始まったので、クライアントはおそらく公式ウェブサイトの1つ、たとえば検察のオフィスで彼らのデータを見ることに非常に興味があるだろうと言いました。 うまくいきました。 脆弱性に関する情報を公開した後、2つの部分で30,000ルーブルに合意しました。
さらに、ほとんど関心がありません。 誰もが約束を守った。 誰もが幸せです。
このf話の教訓はこれです-私は、おそらく、牛と地獄で私を燃やす。 しかし! 親愛なる、誰かがこの種のサービスの提供に従事している場合、セキュリティに注意してください。 間違いは「幼稚」ですが、この話からわかることです。
PS「K」部門の従業員がコンピューターを押収したことに興味がある人は、別に書くことができます。 これは別の話なので、検索、調査、尋問、試験、裁判所があります。
SQLインジェクションが引き起こす可能性のあるもの
All Articles