b4trjan

Услышав новость о том, что egov.kz переходит на SMS авторизацию при запросе некоторых гос.услуг, я сразу же подумал, что это шутка, ведь этот вид авторизации переоценен и на данный момент гиганты рынка - те, кто обычно задает моду в этой сфере, - начали отказываться от использования SMS. Ну, а что же наши? Ну, а наши как всегда...Итак, бага, о которой я хочу сегодня рассказать, кому-то может показаться и не багой вовсе, а как модно сейчас говорить, фичей, но лично я так не считаю.Для демонстрации баги нам понадобится burpsuite, droid-proxy, профиль на egov, а так же светлая голова и прямые руки.Суть баги в том что, во-первых, вся информация передается по HTTP (т.е. в открытом виде), во-вторых, в ответе на запрос для получения SMS мы получаем код самой SMS (и это наверное самое глупое, что…

Всем доброго дня! К делу! Как правило если я что-то нахожу я всегда сообщаю об этом разработчику и жду ответа определенное время, но, иногда ждать приходится очень долго, а иногда ответа нет совсем, ну что ж видимо так заинтересованы раз молчат. Сегодня мы с Вами рассмотрим одну маленькую уязвимость на сайте cabinet.idport.kz, я почти не сомневаюсь что большинство из Вас сейчас даже и не вспомнят какой логин и пароль для доступа у вас к нему:) . И так, сайт не маленький и раскрывать все что я нашел не буду, дабы не навредить тем кто отвечает за данные ресурс. Поехали! Заходим на портал, и сразу идем к пункту "Счета и платежи" (рис.1) Нас интересует поле "Счета", а именно строчка "Номер счета" (выделено красным) кликаем по нему, и получаем рис. 2 Как Вы можете понять это детализация за как…

Наверное только абсолютно ленивый человек не знает о таких ресурсах как kolesa.kz и krisha.kz, которые заслуженно считаются наиболее посещаемыми сайтами в своей тематике. Мне очень повезло, ведь мне удалось поработать с ними. И вот небольшой отчет по проверке на стойкость данных ресурсов, опишу некоторые ошибки которые мне разрешили опубликовать. Хочу сразу заметить, проекты очень большие, наверное самые большие с которыми мне приходилось работать в Казахстане, и опираясь на это могу сказать что разработчики ежедневно проделывают огромную работу по сохранению безопасности своих ресурсов. И так начнем с XSS которые наверное есть практически во всех ресурсах КазNet'а (да и не только), найти их довольно не сложно. Пройдя по ссылке "Аналитика", я запустил HTTP Live Header, что бы отслеживать…

О безопасности всерьез #1

Не так давно зарегистрировался на сайте kset.kz, интересная соц.сеть, все сделано на должном уровне. Нравится и оформление и контент.

Но! для людей занимающихся  Информационной Безопасностью больше всего интересует другой вопрос :)

И так проведя поверхностный анализ сайта, удалось найти активные и пассивные XSS (скрин активной ниже), а так же возможность удалять чужие комментарии в новостях.

О том что на сайте есть серьезные уязвимости я сообщил в тех.поддержку, но ответа не получил.

Хочу обратить внимание, что это только поверхностный анализ, для полного к сожалению не хватает времени и сил, но если кто захочет капать дальше, то думаю найдет еще много интересного.

P.S. Если есть интересные ресурсы пишите: [email protected],  проверю и отчет выложу сюда :)