Даже Веб-Ресурсы Известных Организаций Не Защищены От Детских Ошибок.

Поэтому я решил пойти по «простому» пути.

Практически после пары попыток в веб-интерфейсе белорусского Сбербанка были обнаружены две пассивные XSS-уязвимости.

Первая ошибка детства — не проверка входящих данных со стороны пользователя.

Результатом является межсайтовый скриптинг в поле поиска и форме входа в Сбербанк Онлайн.

Отдельный момент касательно формы входа в Сбербанк Онлайн — хотя форма передавала значения по POST, скрипты на веб-сервере успешно обработали мой GET-запрос.

Еще я решил посмотреть домен, с которого мне писал HR Сбербанка.

Им оказался портал «Таланты Сбербанка».

Помучив различные формы и скрытые поля, я не получил ничего полезного, кроме того, что портал работает на ASP.NET. Еще раз просмотрев исходный код главной HTML-страницы, я заметил, что все файлы JS и CSS передаются через скрипт, который объединяет и сжимает файлы, указанные в GET-запросе.

Вторая ошибка детства — не ограничивать белым списком список файлов/каталогов, которые можно скачивать с сервера.

В итоге я получил доступ к файлу конфигурации веб-сервера.

А еще, более интересный файл с логами, где были указаны как пароли от SQL и других сервисов, так и актуальные токены API для публикации в социальных сетях.

Объектом тестирования, по неслучайной аналогии со Сбербанком, стал «Портал карьеры банка «Открытие».

Оказалось, что портал работает на CMS Битрикс.

Как правило, крупные коммерческие движки или движки с открытым исходным кодом не содержат детских ошибок, но.

Окей Гугл, как зайти в админку Битрикса? Третья детская ошибка — не закрытие листинга каталогов на сервере.

В принципе всё понятно — Apache был настроен так, чтобы каталоги без индексных файлов показывали своё содержимое.

Это не очень критичная проблема, если бы не роковое совпадение.

На карьерном портале вы можете загрузить свои контактные данные и файл резюме.

Пара минут и я уже смотрю листинг справочника с данными претендентов.

Это все интересно, но не админ.

Поэтому листаем все папки в надежде что-нибудь найти.

Это не детская ошибка – это человеческий фактор.

Не знаю «как» и главное «почему», но в одной из директорий с файлами PDF/RTF/DOC находился файл без расширения, который представлял собой PHP-скрипт.



Благодаря этому файлу был получен новый вектор поиска - папка /estaff/, где находились логи добавления/удаления вакансий с парой логин/пароль, скрипты модулей, а также в одном из файлов детали, подходящие для Отобразилась админ-панель Битрикса.

Во-первых, пришлось долго искать реального представителя банка, связанного с ИТ.

Первая линия поддержки банков (как и сами HR) в принципе не поняли проблему, которую ожидали, но не смогли передать эти данные вышестоящим коллегам из нужных отделов.

Решением стал LinkedIn и рассылка личных сообщений руководителям различных подразделений, так или иначе связанных с ИТ-инфраструктурой.

Во-вторых, у обоих банков нет программы Bug Bounty, в результате все ограничилось лаконичным «Спасибо».

И в-третьих, HR обоих банков не рассматривали мое резюме, ссылаясь на отсутствие опыта.