Биржи [ Часть 1 ]

[D2]

Безопасные конечно же​

История​

Итак, как всегда, я сижу в кафе и чекаю свою электронную почту. Я вижу сообщение о том, что получил вознаграждение и думаю: "Это круто; пришло время как-нибудь его обналичить". Это первый раз, когда я участвую в российской баунти-программе. Прежде чем слишком углубляться в детали, будучи гением, которым я являюсь, я решаю проверить сервисы, которые позволяют вам получать деньги с банковского счета и расплачиваться криптовалютой.

Услуги​

Я решил изучить два сервиса, которые пока сохраню в секрете. Мы все знаем о BestChange, верно? Итак, я решаю проверить рандомный сервис. Я открываю Burp Suite и наблюдаю за поступающими запросами. Я нажимаю на один из сервисов, перечисленных на BestChange, и, как вы знаете, BestChange перенаправляет вас на другой сервис, используя свой собственный реферальный код. Давайте назовем это идентификатором, который помогает бирже понять, что трафик исходит от BestChange. Здесь происходит самая странная вещь, то, что я никогда бы не подумал возможным.

Да начнётся тех. часть​

Как вы можете видеть на изображении ниже, когда мы нажимаем на один из обменников от Best Change, у каждого из них есть определенный идентификатор. При нажатии мы получаем страницу, которая загружает функцию JavaScript "location.replace", перенаправляющую нас на это местоположение.

Изображение [1]

​

После перенаправления сервис отправляет запрос с параметром "r", предположительно означающим "реферал", и значение этого параметра устанавливается равным "bestchange". В ответ мы получаем идентификатор пользователя BestChange, имя, фамилию и роль. Я предполагаю, что BestChange будет использовать эту учетную запись для входа в систему и получения доходов от рефералов, но я не могу быть уверен. Я не знаком с тем, как работает BestChange; это всего лишь один из возможных сценариев.

Изображение [2]​

Каковы потенциальные проблемы на данный момент?
Из текущей ситуации вытекает несколько потенциальных проблем. Во-первых, хотя BestChange применил правильный подход, зарегистрировавшись под вымышленными именами и фамилиями, проблема заключается в том, что обычно мы не должны иметь возможности просматривать имена, фамилии или роли пользователей. Однако эта функция непреднамеренно приводит к утечке этой информации. Если сотрудник Best Change зарегистрируется с реальными данными, это может привести к серьезной проблеме.

Более того, возникает еще одна потенциальная проблема, если кто-то вводит идентификатор реферала одного из пользователей. В этом случае они получат доступ к данным соответствующего пользователя. Это представляет явную угрозу конфиденциальности и безопасности, поскольку потенциально может привести к раскрытию конфиденциальной информации о пользователях, которые не хотели, чтобы их данные были доступны таким образом. Так что даже на имена дропов знакомых лучше не регаться.

~ Мы можем сменить имя и фамилию, это не так уж и важно.​

Не важно? Представьте, что вы прислали мне свой реферальный код, я получил ваш идентификатор пользователя, подтвержденный адрес электронной почты, имя, фамилию, подтвержденный номер, хэш пароля. Тоесть если у вас лёгкий пароль, то скорее всего можно будет взломать и бабахнуть ваши бабки с баланса. Я знаю что это слишком странно чтобы не данные пользователя, а данные реферала приходили в ответе.

Изображение [3]
​

Что вам следует делать?
До этого мы писали пользуйтесь разными почтами, паролями, а щас напишем что не пользуйтесь реф ссылками и особенно не делитесь своими.

Изображение [4]
​

Всегда забавно отправлять сообщения такого рода в службу поддержки, потому что они обычно сходят с ума. Также печально, что они даже не понимают серьезности проблемы. Возможно, я продолжу писать на эту тему, поскольку это кажется забавным.

Поддержите меня:
Спойлер: Кошель
Отпишите в лс

Автор grozdniyandy​

Источник https://xss.is/​