Забавная по сути своей ситуация получилась при работе с Positive Technologies. Согласно требованиям партнерских программ, я проходил необходимые сертификации на их сайте edu.ptsecurity.com и по старой доброй привычке решил просмотреть тела и хедеры запросов, которые отправляются на сайт при переходе по различным ссылкам. Burp Suite всегда отлично помогал в решении такого рода задач, он не подвел и в этот раз =)
Все персональные данные, информация о компании, ее структуре и клиентах из скриншотов удалены.
![Базовый запрос Базовый запрос](https://habrastorage.org/getpro/habr/upload_files/927/1dc/8ab/9271dc8ab7462079dc14f7fc8d8f3ffa.png)
![Страница профиля Страница профиля](https://habrastorage.org/getpro/habr/upload_files/5fb/f21/8c0/5fbf218c00360acf18794b1f6c2e445f.png)
По какой-то странной причине ссылка на профиль в основном меню и ссылка на профиль из меню сертификатов имели отличия по параметрам, что привлекло внимание и заставило изучить причины этих различий.
Оказалось, что при переходе через меню сертификатов пользователь получает доступ к своему профилю. Хм, ну вроде ничего в этом страшного и нет, хотя судя по стандартной ссылке на профиль, разработчики не хотели предоставлять такую информацию…
![Профиль при переходе через страницу сертификатов Профиль при переходе через страницу сертификатов](https://habrastorage.org/getpro/habr/upload_files/e71/4ba/1fa/e714ba1fa43af0fff9bcefa5b87a9284.png)
А если они не хотели этого делать, то скорее всего нет и контроля за дальнейшим перемещением! Так и есть, оказались доступны для модификации и ознакомления профили других пользователей обучающей платформы!
![Профиль пользователя "Алена" Профиль пользователя "Алена"](https://habrastorage.org/getpro/habr/upload_files/0b5/e02/180/0b5e02180be2c1796147cc08478f56da.png)
![Различные графы профиля Различные графы профиля](https://habrastorage.org/getpro/habr/upload_files/6b3/356/cf9/6b3356cf99f457234ac5bb99152d57f7.png)
![Доступна в т.ч. информация о самих сотрудниках PT Доступна в т.ч. информация о самих сотрудниках PT](https://habrastorage.org/getpro/habr/upload_files/ac2/9d7/844/ac29d784469cdf84f2111d8dfe6a4763.png)
Ну что ж, осталось дело за малым: не лезть в дебри, модифицировать для доказательства учетную запись не содержащую персональных данных и можно смело сдавать в программу Bug Bounty. Сказано — сделано.
![Профиль основного администратора портала Профиль основного администратора портала](https://habrastorage.org/getpro/habr/upload_files/9a5/7fe/7fd/9a57fe7fd87c16bed2c840ef91d044da.png)
Хотя погодите… не будет ли еще небезопасных ссылок, т. е. такой же ошибки, которая была допущена во вкладке сертификатов. Ладно, надо бы действительно проверить, а то получается какой-то однобокий ресерч, ровно до первого бага.
Ииии..еще одна ссылка! Оказалось, что кнопка назначения заместителя может привести к полному списку пользователей, клиентов и сотрудников Positive Technologies. Так-с, ну здесь нет вариантов, нужно раскручивать ситуацию до конца, любопытство начинает сьедать.
![Список всех пользователей портала Список всех пользователей портала](https://habrastorage.org/getpro/habr/upload_files/ee1/c3b/d96/ee1c3bd96ea59d1805f10277abc582d1.png)
После нескольких тестов на учетной записи моего коллеги (все с его разрешения) оказалось, что я могу не только править любую его персональную информацию, но и получить доступ ко всем сертификациям, добавить/изменить их срок, результат, даже узнать ответы на вопросы. Тут мое природное желание быть запасливым встало в полный рост — шутка ли, обеспечить на десяток лет себя и коллег спокойным существанием, без необходимости проходить какие-либо курсы, а там уже, кто знает, можно и за конкурентами присмотреть…^_^
![Назначение нового заместителя Назначение нового заместителя](https://habrastorage.org/getpro/habr/upload_files/293/e31/803/293e318036a1e4ff18cc76890b0fa8df.png)
![Модификация сертификации Модификация сертификации](https://habrastorage.org/getpro/habr/upload_files/ad8/e41/ff8/ad8e41ff8cd5b196133ec69ebba6223c.png)
![Ответы на вопросы Ответы на вопросы](https://habrastorage.org/getpro/habr/upload_files/048/a60/fcb/048a60fcb9b4f6b13beab79c3adeba59.png)
![Ответы на вопросы Ответы на вопросы](https://habrastorage.org/getpro/habr/upload_files/10d/c00/d87/10dc00d87199a99ee9f007ee4c257f38.png)
Волевым усилием недостойные мысли были подавлены и ресерч был продолжен. После получения доступа (через такую же небезопасную ссылку) к структуре компании, людям назначаемым на должности и даже к возможности модификации KPI я довольно улыбнулся, записал видеоряд для представителей компании и с чувством выполненного долга отправил его на официальную программу в Standoff365.
![Все должности компании PT Все должности компании PT](https://habrastorage.org/getpro/habr/upload_files/fe0/818/c3c/fe0818c3cc898292b1dc48878afb599a.png)
![Структура подразделений с указанием конкретных людей, занимающих должности Структура подразделений с указанием конкретных людей, занимающих должности](https://habrastorage.org/getpro/habr/upload_files/5e7/1b4/cb8/5e71b4cb836d7117ccbf5433567e582b.png)
Мое скромное увлечение было оценено следующим образом: рейтинг на платформе standoff365 и 50.000 руб.
![](https://habrastorage.org/getpro/habr/upload_files/6c9/a3d/0a6/6c9a3d0a6f28353197b9f2a07db06d3a.png)
К сожалению, по неясным причинам платформа в указанном виде перестала существовать 21 мая (через месяц после передачи моих записей). Уверен, что переработанный вариант уже не содержит таких увлекательных квестов. =)
Комментарии (3)
akirsanov
20.07.2024 20:59Похоже на типичную ситуацию в разработке нового продукта - берется нишевый комбайн аля CRM, и в интерфейсе вырезается все лишнее.
Tim_L
20.07.2024 20:59Они давно анонсировали переход на новую платформу для обучения и, соответственно, текущий портал был закрыт окончательно.
AxelLx
На тему ИБ: Никогда не используйте пикселизацию для сокрытия текста.