Как я взломал банк за 20 минут

Все блоги / Про интернет 4 февраля 2020 412   


В этой статье я покажу вам, насколько хрупкой бывает система безопасности банков, которую может взломать даже школьник. И так, начнем с предыстории!



Предыстория

Я уже долгое время ищу уязвимости на платформе HackerOne обычно я просто жду инвайты в новые крутые приватные программы, а если их нет, тогда у меня включается автопилот и я ломаю все интересные проекты попадающие мне под руку, заведомо узнав о наличии программы вознаграждения за уязвимости. В один прекрасный момент я получаю инвайт от интересного банка, и так как это приватная программа, я не имею права разглашать информацию о банке, поэтому назовем его Банк X )

Recon и сразу взлом!


Всегда тестирование должно начинаться с разведки (Recon) этот случай не оказался исключением, я начал подбирать поддомены с помощью инструмента findomain он наиболее удобен по моему мнению так как использует API многих инструментов и сервисов с помощью которых я получаю максимальный список поддоменов.

На этом мое любопытство не останавливалось, я использовал сервис Censys чтобы посмотреть внутренние сервера, иногда на них бывают веселые вещи.

На этот раз было очень весело, мое внимание обострилось на два сервера на которых был неустановленный WordPress



На этом моменте я понял что это полный разгром, но я переборол свое нескромное желание и сразу отправил два репорта, от такого волнения я пошел на улицу развеять голову от такой находки, спустя 5 минут я получаю на телефон уведомление от компании Good catch!!!
И получил вознагрождение в 1000$ что очень неплохо. За ту же уязвимость на втором сервере я получил дубликат якобы за те же самые действия) Но да ладно, подумал я) Также я спросил почему всего 1000$ у вас написано максимально 2000$.



На что мне ответили тем что данный сервер не в ИХ сети, хотя я просканнировал nmapом и он был в сети данного банка) Но я не стал спорить и согласился с полученным вознагрождением.

Читать дальше →
  • Оцените публикацию
  • 0

Похожие публикации

@
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Архив публикаций