Приготовьтесь, кто стоит - сядьте, кто работает - закончите позже, так как сейчас будет полный Трэш. Мы разберем вдоль и поперек уязвимости крупнейшего сервиса доставок фуда в России Delivery Club.

Итак приступим, а начнем мы вот с чего уязвимости в GET-запросах в данном сервисе мы имеем SQL инъекции и Межсайтовый скриптинг.

SQL инъекции

Это атака на базу данных призвана получать частичный или полный доступ к базе данных, редактировать ее содержимое, удалять и вытягивать из нее данные.

Что мы можем в данном случае делать с этой уязвимостью ?Да все что угодно, нас ограничивает лишь наша фантазия.

Допустим у вас не хватает бонусных балов для получения подарка Apple iPhone 6 16GB (серебристый) за 233 300 баллов, не проблема вы их пополните и получите Айфон абсолютно бесплатно. Или же банальная доставка еды, хотите фуршет держите.

Но на самом деле это довольно грустно когда на сервисе с таким количеством клиентов встречается такая уязвимость, так как данные всех 3 000 000 пользователей находятся под угрозой, и в случае чего могут быть очень грамотно использованы конкурентами, и не только ими.

Межсайтовый скриптинг

В прошлой статье мы уже писали о данной уязвимости и ее классификациях поэтому перечислять все не будем ограничимся лишь ее возможностями в данном сервисе.

1. Получение личных данных пользователей (заказы, аутентификационные данные, сведения о доставке куда/во сколько/и за сколько)
2. Вытягивание исходного кода
3. Получение личных данных со стороны клиента

Внушительно не так ли?!

Что бы вы не думали что мы вешаем вам лапшу на уши держите и сами убедитесь на примере безобидного GET-запроса. данные в раскодированном виде вы можете получить здесь, вставив текст в форму и нажав "подбор".

Или вот еще например "Корзина" ради эксперимента положите что нибудь в корзину и сравните сумму заказа с цифрой которая указана здесь (без учета стоимости доставки), а правильно дописав запрос можно получить не только свою корзину, но и "соседа снизу".

И на этом казалось бы можно заканчивать, но тут мы опять поспешим вас огорчить, следующая уязвимость это Clickjacking.

Clickjacking

Через данную уязвимость можно не просто получить ваши данные в этом сервисе, но также и получать от вас денежку.

Как это происходит: Вы вроде войдя как обычно в личный кабинет хотите привязать свою кредитку вот тут вас то и хлопают, да вы вроде привязали ее, но не думайте что эти данные ушли только для оплаты заказов, они еще и передались злоумышленнику который снимет с нее все подчистую.

Аналитика

Итак теперь то что многие так любят и то что так многие ненавидят, считаем «чужие деньги», но лишь для того чтобы показать в денежном эквиваленте какие потери несут данные уязвимости.

В системе зарегистрировано на момент написания этой статьи 3 606 442 пользователей, в среднем 10 000 заказов в сутки, средний чек 1 500 руб.

Теперь считаем:

10 000 заказов * 1 500 руб.= 450 млн.руб. в месяц. * 3 месяца = 1 млрд. 350 тыс.

Выводы

Ну что тут сказать, уязвимости говорят сами за себя поэтому мы сразу ставим финальную оценку критичности уязвимостей

P.S. Подумайте если такие уязвимости встречаются у такого крупного сервиса с миллиардными годовыми оборотами, представьте что там у Вас.

С уважением команда Miralabs Security

miralabsgroup@gmail.com

Наш твиттер @MiraSecurity

Подробный отчет уязвимостей Delivery Club может запросить у нас либо на сайте, или же воспользовавшись нашими контактными данными.

Данная статьи написана исключительно в ознакомительных целях.