На 1 вопрос если ты внимательно читал дан ответ . Там даже число написано .Ты в скайп отправлял обновы месяц примерно назад, оно фиксило этот эксплоит ?
Посмотреть вложение 47776
Так же хотелось узнать твой статус на проекте - ты разраб или ревювер или каков твой статус в данным момент ?
Мб я что-то упустил, можно цитату, тоже этот вопрос беспокоитНа 1 вопрос если ты внимательно читал дан ответ . Там даже число написано .
"После того как прикрыли все дырки уже и в клиентской части клиенты не торопились обновляться, опять же таки, кто-то не знал, кто-то просто ленился, но взлом клиентской части ни каких больших проблем не нес ибо данных там не было."
Читаешь и волосы дыбом, насколько через жопу написан ммовеб. Ни одной адекватной проверки? Открытые логи? Отсутствие двухфакторной авторизации хотя бы через второй уник пароль на важную логику?Всем привет!
Что произошло как так случилось кто виноват?
Первый раз повышенный интерес появился 02-12-2022 товарищ зарегался и начали выполнять подозрительные действия (изначально на л2глобал), в целом сложилось впечатление, что попытки были и за пару месяцев до этого и работал не один спец по поиску уязвимости, перерыл практически все варианты на xss, sql inject и просто ломая логику обработки данных, но все это максимум приводило к 500 ошибки из которой он видел белый экран, после он решил сменить тактику так как все попытки что-то залить и как, то подменить данные в запросе на вайп данных в ммовеб, я периодически за ним наблюдал и лочил его учетку после пары дней он снова возвращался и продолжал.
03-12-2022
шаг 1: добрался до функционала смены емайла профилю - и это была его победа он смекнул что логи по профилям подтягиваются по емайлу (совокупность недоработке смены емайла без проверки на дубликат и отображение логов действий по емайлу)
шаг 2: подставил почту мастер аккаунта и получил доступ к списку всех клиентов из которых он вытянул все емалы админов которые использовали один и тот же емаил для проекта и учетной записи (бага открытия панели админа была опять же таки в проверке на емаил)
шаг 3: он накидал скрипт смены емайлов профиля и открытия страницы с логами где успешно получал последние 100 логово пользователя, но скрипт слишком быстро выполнял запросы и положил базу перебрав около 80% клиентов. в этот момент я понял что он, делал и как делал. Быстро исправив эту проблему ребутнули базу, но как говорится поздно пить боржоми когда логи слили.
Проблема логов была в том что именно логи персонального профиля, которые он воровал, ни как не фильтровались перед показом(это исправили) и он видел логи авторизации со всеми данными, что прилетали пост и гет и мало того сохранение проектов и гейм серверов, оценив ситуацию было принято сбросить всем пароли и сессии от ммовеб после чего сесть и обдумать риски.
15-12-2022
Было решено сменить все главные апи ключ, но проблема образовалась, что не было центра лизированного канала оповещения и ленью администраторов, акция по сменам затянулась или вовсе проигнорировалась, но наш спец не спал и имея на руках ключи имел доступ к загрузке конфигов на клиентскую часть чем он и воспользовался, поломав синтаксис залил вместе с конфигом
думаю объяснять не стоит что это дает, первым потерпевшим с шелом был л2декс которому он залил админер и пошел по списку имеющаяся гейм серверов для проверки конекта, и к сожалению у пары клиентов база и рутовый доступ небыли настроены на ип ммовеб и смотрели в интернет, он успешно слил и вайпнул базу - урон не велик базы поднялись из бекапов, в этот же день он заглянул на огонь к валхалле которая была предупреждена в первый же день инцидента о проблеме, но так как они стоят отдельно от ммовеб доступа к ним мы не имели, он там успел тоже вайпнуть базу проекта через функционал админки вошел он под логином и паролем который лежали еще с момента когда валхала пользовалась ммовебом.
После того как прикрыли все дырки уже и в клиентской части клиенты не торопились обновляться, опять же таки, кто-то не знал, кто-то просто ленился, но взлом клиентской части ни каких больших проблем не нес ибо данных там не было.
31-01-2023
Эпопея с платежкой:
После того как все вроде поутихло и он исчерпал все возможности украденных данных, как мы думали, тут возникла ситуация. 31го января клиенты одной платежной системы все массово поставили свои деньги на вывод. Но так как их было много и все они были на крипту платежка не торопилась их выводить. 1го февраля мне сообщают о ситуации, что через апи платежки деньги поставили на вывод. тут все стало понятно наш спец добрался до них, изначально даже не рассматривали такую возможность так как в 99% это требовало сторонних дополнительных ключей и доступов, либо вовсе отсутствовало, на примере этой платежки достаточно было тех ключей которые и создают платежи на оплату. Мною был собран список из 98 проектов которые пользовались этой пп и дано разъяснения суппорту этой пп после чего они заверили что выплаты все отменили и счета заморожены. К сожалению у одного из проектов 20тр уже успело уйти на благотворительные нужды жителей донбасса, Робин гуд видимо, а второго числа мне пишет второй проект, которому потвердели выплату на большую сумму, на крипту. Насчет спеца пп, она в ручном режиме, зная о проблеме дала апрув на вывод средств.
Вывод? Правильно подбирать платежные системы? Или удалить л2 с компа )))Читаешь и волосы дыбом, насколько через жопу написан ммовеб. Ни одной адекватной проверки? Открытые логи? Отсутствие двухфакторной авторизации хотя бы через второй уник пароль на важную логику?
Тут дело даже не в скаме бабла (это проблема платежки, которая принимает запрос на вывод через апи), а в том, что данная ситуация повторится, и не один раз.
На завод идти работать)Вывод? Правильно подбирать платежные системы? Или удалить л2 с компа )))
Вывод? Правильно подбирать платежные системы? Или удалить л2 с компа )))
Подскажите, а что и где нормально написаноЧитаешь и волосы дыбом, насколько через жопу написан ммовеб. Ни одной адекватной проверки? Открытые логи? Отсутствие двухфакторной авторизации хотя бы через второй уник пароль на важную логику?
Тут дело даже не в скаме бабла (это проблема платежки, которая принимает запрос на вывод через апи), а в том, что данная ситуация повторится, и не один раз.
на заборе нормально написаноПодскажите, а что и где нормально написано
Если у вас воруют сессию - это разве проблема цмс? Да, базовая защита от смены IP, и т.п. должна быть, но серьезно, должен ли охранник заботится о кошельке который вы оставляете в парке открытым? Соблюдайте базовые меры цифровой гигиены, меняйте пароли, прячьте админку, вырубайте ее совсем, если не планируете пользоваться, и т.п. Если вкратце, делайте все возможное чтобы усложнить вход в админку, даже со сворованными куками, сессиями и т.п. Универсальной защиты не существует. Никакая ЦМС не сможет защитить себя от дурака за рулем. К слову, сессия или ее ключ может хранить в себе ip, юзер агент (инфу о браузере) и все это в хеше. Так что перехват сессии/ключа сессии не равно доступ в админку.Обычная трактовка"Поломают сессию" = "Перехватят сессию"?, в чем разница трактовки, любым методом и не обязательно речь о куках.
Сбрутфорсируйте хеш лучше звучит, чем "расшифруйте-найдите"?
И если что про Л2 ПТС хеши, можно и "расшифруйте", учитывая уязвимость родных ncsoft хешей.
Подскажите, а что и где нормально написано
ну как минимум можно проверить страну пользователя, есть 2FA, много всяких плюх есть, fingerprint-ы всякие, время жизни сессии...Если у вас воруют сессию - это разве проблема цмс? Да, базовая защита от смены IP, и т.п. должна быть, но серьезно, должен ли охранник заботится о кошельке который вы оставляете в парке открытым? Соблюдайте базовые меры цифровой гигиены, меняйте пароли, прячьте админку, вырубайте ее совсем, если не планируете пользоваться, и т.п. Если вкратце, делайте все возможное чтобы усложнить вход в админку, даже со сворованными куками, сессиями и т.п. Универсальной защиты не существует. Никакая ЦМС не сможет защитить себя от дурака за рулем. К слову, сессия или ее ключ может хранить в себе ip, юзер агент (инфу о браузере) и все это в хеше. Так что перехват сессии/ключа сессии не равно доступ в админку.
Тут главная проблема, что не украли сессию, а что получили доступ к логам)Если у вас воруют сессию - это разве проблема цмс? Да, базовая защита от смены IP, и т.п. должна быть, но серьезно, должен ли охранник заботится о кошельке который вы оставляете в парке открытым? Соблюдайте базовые меры цифровой гигиены, меняйте пароли, прячьте админку, вырубайте ее совсем, если не планируете пользоваться, и т.п. Если вкратце, делайте все возможное чтобы усложнить вход в админку, даже со сворованными куками, сессиями и т.п. Универсальной защиты не существует. Никакая ЦМС не сможет защитить себя от дурака за рулем. К слову, сессия или ее ключ может хранить в себе ip, юзер агент (инфу о браузере) и все это в хеше. Так что перехват сессии/ключа сессии не равно доступ в админку.
Єто же цмс для л2, тут за такие слова тебя могут сжечь)ну как минимум можно проверить страну пользователя, есть 2FA, много всяких плюх есть, fingerprint-ы всякие, время жизни сессии...
Легко, дальше самиest idei ?
Во время мы тебя оповестилиВсем привет!
Что произошло как так случилось кто виноват?
Первый раз повышенный интерес появился 02-12-2022 товарищ зарегался и начали выполнять подозрительные действия (изначально на л2глобал), в целом сложилось впечатление, что попытки были и за пару месяцев до этого и работал не один спец по поиску уязвимости, перерыл практически все варианты на xss, sql inject и просто ломая логику обработки данных, но все это максимум приводило к 500 ошибки из которой он видел белый экран, после он решил сменить тактику так как все попытки что-то залить и как, то подменить данные в запросе на вайп данных в ммовеб, я периодически за ним наблюдал и лочил его учетку после пары дней он снова возвращался и продолжал.
03-12-2022
шаг 1: добрался до функционала смены емайла профилю - и это была его победа он смекнул что логи по профилям подтягиваются по емайлу (совокупность недоработке смены емайла без проверки на дубликат и отображение логов действий по емайлу)
шаг 2: подставил почту мастер аккаунта и получил доступ к списку всех клиентов из которых он вытянул все емалы админов которые использовали один и тот же емаил для проекта и учетной записи (бага открытия панели админа была опять же таки в проверке на емаил)
шаг 3: он накидал скрипт смены емайлов профиля и открытия страницы с логами где успешно получал последние 100 логово пользователя, но скрипт слишком быстро выполнял запросы и положил базу перебрав около 80% клиентов. в этот момент я понял что он, делал и как делал. Быстро исправив эту проблему ребутнули базу, но как говорится поздно пить боржоми когда логи слили.
Проблема логов была в том что именно логи персонального профиля, которые он воровал, ни как не фильтровались перед показом(это исправили) и он видел логи авторизации со всеми данными, что прилетали пост и гет и мало того сохранение проектов и гейм серверов, оценив ситуацию было принято сбросить всем пароли и сессии от ммовеб после чего сесть и обдумать риски.
15-12-2022
Было решено сменить все главные апи ключ, но проблема образовалась, что не было центра лизированного канала оповещения и ленью администраторов, акция по сменам затянулась или вовсе проигнорировалась, но наш спец не спал и имея на руках ключи имел доступ к загрузке конфигов на клиентскую часть чем он и воспользовался, поломав синтаксис залил вместе с конфигом
думаю объяснять не стоит что это дает, первым потерпевшим с шелом был л2декс которому он залил админер и пошел по списку имеющаяся гейм серверов для проверки конекта, и к сожалению у пары клиентов база и рутовый доступ небыли настроены на ип ммовеб и смотрели в интернет, он успешно слил и вайпнул базу - урон не велик базы поднялись из бекапов, в этот же день он заглянул на огонь к валхалле которая была предупреждена в первый же день инцидента о проблеме, но так как они стоят отдельно от ммовеб доступа к ним мы не имели, он там успел тоже вайпнуть базу проекта через функционал админки вошел он под логином и паролем который лежали еще с момента когда валхала пользовалась ммовебом.
После того как прикрыли все дырки уже и в клиентской части клиенты не торопились обновляться, опять же таки, кто-то не знал, кто-то просто ленился, но взлом клиентской части ни каких больших проблем не нес ибо данных там не было.
31-01-2023
Эпопея с платежкой:
После того как все вроде поутихло и он исчерпал все возможности украденных данных, как мы думали, тут возникла ситуация. 31го января клиенты одной платежной системы все массово поставили свои деньги на вывод. Но так как их было много и все они были на крипту платежка не торопилась их выводить. 1го февраля мне сообщают о ситуации, что через апи платежки деньги поставили на вывод. тут все стало понятно наш спец добрался до них, изначально даже не рассматривали такую возможность так как в 99% это требовало сторонних дополнительных ключей и доступов, либо вовсе отсутствовало, на примере этой платежки достаточно было тех ключей которые и создают платежи на оплату. Мною был собран список из 98 проектов которые пользовались этой пп и дано разъяснения суппорту этой пп после чего они заверили что выплаты все отменили и счета заморожены. К сожалению у одного из проектов 20тр уже успело уйти на благотворительные нужды жителей донбасса, Робин гуд видимо, а второго числа мне пишет второй проект, которому потвердели выплату на большую сумму, на крипту. Насчет спеца пп, она в ручном режиме, зная о проблеме дала апрув на вывод средств.
Вобще не в тему Secrets Manager, Cognito да но Secrets Manager не тудаЛегко, дальше сами
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
Вы не можете просматривать ссылку пожалуйста воспользуйтесь следующими ссылками Вход или Регистрация
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?