Уязвимости Delivery Club - Разбор Полетов
Приготовьтесь, кто стоит - сядьте, кто работает - закончите позже, так как сейчас будет полный Трэш. Мы разберем вдоль и поперек уязвимости крупнейшего сервиса доставок фуда в России Delivery Club.
Итак приступим, а начнем мы вот с чего уязвимости в GET-запросах в данном сервисе мы имеем SQL инъекции и Межсайтовый скриптинг.
SQL инъекции
Это атака на базу данных призвана получать частичный или полный доступ к базе данных, редактировать ее содержимое, удалять и вытягивать из нее данные.
Что мы можем в данном случае делать с этой уязвимостью ?Да все что угодно, нас ограничивает лишь наша фантазия.
Допустим у вас не хватает бонусных балов для получения подарка Apple iPhone 6 16GB (серебристый) за 233 300 баллов, не проблема вы их пополните и получите Айфон абсолютно бесплатно. Или же банальная доставка еды, хотите фуршет держите.
Но на самом деле это довольно грустно когда на сервисе с таким количеством клиентов встречается такая уязвимость, так как данные всех 3 000 000 пользователей находятся под угрозой, и в случае чего могут быть очень грамотно использованы конкурентами, и не только ими.
Межсайтовый скриптинг
В прошлой статье мы уже писали о данной уязвимости и ее классификациях поэтому перечислять все не будем ограничимся лишь ее возможностями в данном сервисе.
- Получение личных данных пользователей (заказы, аутентификационные данные, сведения о доставке куда/во сколько/и за сколько)
- Вытягивание исходного кода
- Получение личных данных со стороны клиента
Внушительно не так ли?!
Что бы вы не думали что мы вешаем вам лапшу на уши держите и сами убедитесь на примере безобидного GET-запроса. данные в раскодированном виде вы можете получить здесь, вставив текст в форму и нажав "подбор".
Или вот еще например "Корзина" ради эксперимента положите что нибудь в корзину и сравните сумму заказа с цифрой которая указана здесь (без учета стоимости доставки), а правильно дописав запрос можно получить не только свою корзину, но и "соседа снизу".
И на этом казалось бы можно заканчивать, но тут мы опять поспешим вас огорчить, следующая уязвимость это Clickjacking.
Clickjacking
Через данную уязвимость можно не просто получить ваши данные в этом сервисе, но также и получать от вас денежку.
Как это происходит: Вы вроде войдя как обычно в личный кабинет хотите привязать свою кредитку вот тут вас то и хлопают, да вы вроде привязали ее, но не думайте что эти данные ушли только для оплаты заказов, они еще и передались злоумышленнику который снимет с нее все подчистую.
Аналитика
Итак теперь то что многие так любят и то что так многие ненавидят, считаем «чужие деньги», но лишь для того чтобы показать в денежном эквиваленте какие потери несут данные уязвимости.
В системе зарегистрировано на момент написания этой статьи 3 606 442 пользователей, в среднем 10 000 заказов в сутки, средний чек 1 500 руб.
Теперь считаем:
10 000 заказов * 1 500 руб.= 450 млн.руб. в месяц. * 3 месяца = 1 млрд. 350 тыс.
Выводы
Ну что тут сказать, уязвимости говорят сами за себя поэтому мы сразу ставим финальную оценку критичности уязвимостей
P.S. Подумайте если такие уязвимости встречаются у такого крупного сервиса с миллиардными годовыми оборотами, представьте что там у Вас.
С уважением команда Miralabs Security
miralabsgroup@gmail.com
Наш твиттер @MiraSecurity
Подробный отчет уязвимостей Delivery Club может запросить у нас либо на сайте, или же воспользовавшись нашими контактными данными.
Данная статьи написана исключительно в ознакомительных целях.