Русский ИТ бизнес
Русский ИТ бизнес

Восторг: нам прислали на анализ большой портал, и за ночь мы нашли одну, но неприятную уязвимость

Восторг: нам прислали на анализ большой портал, и за ночь мы нашли одну, но неприятную уязвимость
Восторг: нам прислали на анализ большой портал, и за ночь мы нашли одну, но неприятную уязвимость. Сообщили владельцам, они обновились и написали большое спасибо. Приятно, черт возьми...

В общем, вывод такой: наша система работает + даже профи в ИТ допускают ошибки...

В общем, если хотите, чтобы мы проверили ваш сайт — пишите, поставим в очередь. Наша система пассивная: мы активно не ломаем, а ищем известные дырочки. Это не пентест, что-то гораздо проще, но даже на таком уровне мы находим проблемы.

Помните? «У нас дыра в безопасности! Ну... отлично, хоть что-то у нас в безопасности» :)

P.S. Это заказная работа, для нас новая. Изучаем и углубляемся, и понимаем — целый свой неизведанный нами мир, заманчивый. Но надо признать, что на большинстве сайтов, что мне дали, нет проблем и это замечательно.

tg / max

Комментарии (30)

  • Дневной Барсук
    Дневной Барсук
    там хост видно внизу скрина Ответить
    раскрыть ветку (1)
    • Автор канала
      Автор канала
      спасибо зачирикал. Ответить
  • Дымящийся Гриб
    Дымящийся Гриб
    Если не нашли, значит есть куда расти 😅 Ответить
    раскрыть ветку (1)
    • Автор канала
      Автор канала
      да. но дальше уже надо очень сильно углубляться. мы слабы я же понимаю еще Ответить
  • Длинный Огнетушитель
    Длинный Огнетушитель
    Comment media
    Макс, ну вот серьзно. Все допускают ошибки и это факт. Но вы вот этот момент как оцениваете? Обшиблись/забыли или на похуях?) Ответить
    раскрыть ветку (24)
    • Автор канала
      Автор канала
      да вы шо Иван, я никак не оцениваю. я же говорящая голова :) ну в самом то деле. А вот вы то ух, монстр в ИТ :) я даже спорить не буду :)( Ответить
      раскрыть ветку (23)
      • Длинный Огнетушитель
        Длинный Огнетушитель
        Да что вы все в иронию то, Максим. У вас мнение есть за 30 лет в ИТ? Открытая админка висит и смотрит в мир у большого портала. Все умнички и молодцы раз что-то делают. Вы как считаете? Есть мнение?) Ответить
        раскрыть ветку (22)
        • Автор канала
          Автор канала
          у меня нет мнения. мне написал владелец в личку с букетом благодарностей и я рад что помог. а до этого еще нашли уязвимость очень неприятную и тоже люди написали спасибо. мне достаточно. Ответить
          раскрыть ветку (21)
          • Вязаный Дирижер
            Вязаный Дирижер
            Быстро мнение давай! Там админка открыта! 30 лет в IT! 🚨 Ответить
            раскрыть ветку (1)
          • Длинный Огнетушитель
            Длинный Огнетушитель
            Вот это удобно и круто, когда нет мнения. Это каеф. Ответить
            раскрыть ветку (18)
            • Длинный Огнетушитель
              Длинный Огнетушитель
              Я про то, что очень странно, на большом (как вы выговорите) портале иметь такую уязвимость. Это даже не уязвимость, а чутка похуизм) Лучше про такое даже не рассказывать в ИТ-сообществе, кажется. Вот, допустим, если ваш сканерок увидел, что через загрузку CSV может пройти xss или удаленное выполнение кода через загрузку Excel. Ну что-то такое интересное. А пока вы рассказывали про примеры базовой безопасности. Про некст вот написали и серверные компоненты недавно. Это из всех утюгов трубило, кто не обновился, то просто напохуях же относился к своему проекту) Ответить
              раскрыть ветку (17)
              • Автор канала
                Автор канала
                А я думаю, что если взять 100% владельцев сайтов, которые дальше от ИТ чем мы, например, то 90% даже не думали про такие потенциальные уязвмости. И это возможность заработать, а не критиковать. Ответить
              • Робкий Киллер
                Робкий Киллер
                Это когда один проект, а когда 100+ сайтов, например веб студия. Проще внести их в кабинет или по api и пусть денежка с карты сама списывается когда найдена уязвимость в том же некст и т д

                Зачем парить мозги лишним. Понятное бородатые айтишники сами себе настроят такие сканеры, но мне кажется идея рабочая и денежная Ответить
                раскрыть ветку (15)
                • Автор канала
                  Автор канала
                  щас Иван вам скажет, что это не так... Ответить
                  раскрыть ветку (13)
                  • Длинный Огнетушитель
                    Длинный Огнетушитель
                    Да только рад за вас) У вас все денежным кажется) Нанять миллион джунов и посадить их делать копеечные задачи, РСЯ, офлайн црм, поиск, тапки, компани лист и прочее. Вам ведь клиенты идут в парсинг, так и усиливаете эту экспертизу и не распыляйтесь. Вы же это уже поняли, набив миллион шишек. Нет у клиентов, которые не знают про скрытие админки денег) Чудес не бывает. Они уже проявили небольшую жадность, наняв челика, который про это не знает) Ответить
                    раскрыть ветку (12)
                    • Автор канала
                      Автор канала
                      Эххх Иван. Вы судите по нам исходя из того, что читаете. Но знаете так мало, что судите не правильно. Это слегка забавляет, я читаю вас и отвлекаюсь от рутины :) так что не буду переубеждать. Ответить
                      раскрыть ветку (5)
                      • Длинный Огнетушитель
                        Длинный Огнетушитель
                        Ну понятно. Получается, что вы пишите неправду? Ответить
                        раскрыть ветку (4)
                        • Автор канала
                          Автор канала
                          я просто пишу НЕ всю правду. Ответить
                          раскрыть ветку (3)
                          • Длинный Огнетушитель
                            Длинный Огнетушитель
                            ну это классное отношение к подписчикам) Ответить
                            раскрыть ветку (2)
                            • Автор канала
                              Автор канала
                              есть вещи, которые не стоит афишировать. лишнее. зачем? Ответить
                            • Робкий Киллер
                              Робкий Киллер
                              Он же кастдев провел на наших с вами глазах и желающих было много сразу. Так что спрос есть Ответить
                    • Робкий Киллер
                      Робкий Киллер
                      А какие задачи не копеечные? Поделитесь пожалуйста где есть спрос и высокие чеки и хорошая маржинальность Ответить
                      раскрыть ветку (5)
                      • Длинный Огнетушитель
                        Длинный Огнетушитель
                        Там, где тебе не надо соперничать с фрилансером на авито. Ответить
                        раскрыть ветку (4)
                        • Робкий Киллер
                          Робкий Киллер
                          Ну как пример Гейтс, который был самым богатым айтишником эпохи много лет и зарабатывал на массовом дешевом продукте. Кейс? Кейс Ответить
                          раскрыть ветку (3)
                          • Длинный Огнетушитель
                            Длинный Огнетушитель
                            Ахуенный пример. Тогда же в каждом гараже ОС делали, а еще легче чуть-чуть, когда у тебя мама большой начальник в IBM. Ответить
                            раскрыть ветку (2)
                            • Робкий Киллер
                              Робкий Киллер
                              Ну там же где-то Стив Mac толкал и unix развивался

                              Но народ шел к Гейтсу не смотря на маму Ответить
                              раскрыть ветку (1)
                              • Робкий Киллер
                                Робкий Киллер
                                А народ в своей массе экономный как ни крути) лишнего не заплатит. Госы, бюджетники, фонды, министерства, муниципалитеты, образование и прочая инспекция - тоже нищие, на Mac денег не выпросить. Существуют на дотации. Предприятия малого среднего бизнеса, фабрики и заводы - не богатые, дебит с кредитом считают постоянно

                                Так и запустил Гейтс свое детище в массы, предложив с одной стороны офф лицензию и крыло (в отличии от линукс), с другой стороны картинку почти как у яблока Ответить
                • Вышитый Пирожок
                  Вышитый Пирожок
                  Там очень много подводных камней
                  Мы такую штуку сделали в прошлом году - на инвазивном сканировании, где она еще ранжирует CVE, предлагает клиенту только эксплуатируемые и русским языком описывает возможные последствия и способы закрыть уязвимость).

                  И вот тут сложно - или это надо делать прям супер-дешевым, буквально копеечным (но тогда вас сожрет или условный Бизон, или школьник с нессусом и нейронками), или прям много думать.

                  У нас получилось смешнее - кажется, что постоянное сканирование периметра снижает вероятность атаки. А значит позволяет продать клиенту дешевую страховку от хакеров (да, в этот момент я понял что изобрел бизнес-модель AT-bay). Идея сильно сложнее, но тут в ней хоть нормальный рынок появляется Ответить
  • Автор канала
    Автор канала
    там уже нет уязвимости Ответить