昔々、私は情報セキュリティのスペシャリストになることを夢見て、脆弱性についてさまざまなWebサイトを熱心に調べました。私の最大の勝利は、QIWI支払いシステムの脆弱性を見つけることでした。そのため、優れた開発者は私に200ドルをくれました。その結果、発見された問題は、苦情からわずか3。5年で解決され、その後、宇宙にそれを伝えることが可能になりました。面白いことに、私はこの脆弱性を偶然に発見しました。あなたは簡単に私の代わりになる可能性があります。
2015年に、私はQIWI仮想デビットカードを使用して、AliExpressに妹のnishtyakiを注文しました。システムはシンプルでした。QIWIアカウントにいくらかの金額があり、[仮想カードを発行する]ボタンをクリックして、インターネットで支払いに関する情報を受け取ります。あなたはそれをトリッキーな方法で取得します:あなたはウェブインターフェースで何かを見ることができます(カード番号の最初と最後の4桁、有効期限)、しかし最も興味深いものはSMS(カード番号の8つの中間桁、CVV2)を通してあなたに来ます。問題が発生すると、カード番号の最初と最後の4桁がWebインターフェイスに表示されたままになり、突然SMSで届き始めました。残りの8つの数字は、明らかに、テレパシーで把握する必要がありました。
私は単純な人間です。問題が発生しました。技術サポートに文句を言います。答えはすぐにわかりました。「これは一時的なエラーです。スペシャリストはこの状況の解決に取り組んでいます。ご不便をおかけしましたことをお詫び申し上げます。」はい!
数日後、すべてが機能しましたが、以前と同じようには機能しませんでした。カード番号の最初と最後の4桁は引き続きSMSで受信され、サイトには平均8桁が表示されるようになりました。
ちょっと待ってください。セキュリティ上の問題があるとしたらどうでしょうか。大都市の人と同じように、私は人生であらゆる種類のチェックを見てきました。これらは通常、カード番号の下4桁を示します。これは、これらのデータが秘密ではないことを意味します。カードの詳細を入力して保存するサイトでもよく見られます。数回、最初の4桁も示されているレジ係の領収書を見ました。家族の銀行カードを見ると、すべて同じ接頭辞が付いていることがわかりました。また、まあまあ秘密です。そのため、以前の秘密データはSMS経由で提供され、サイトには公開データが表示されていましたが、今ではすべてが逆になっています。
私はコンピューターの前に座って、脆弱性検索プログラムに詳細なバグレポートを書きました。、途中で銀行カード番号に関するあらゆる種類の興味深いことをグーグルで調べます。私の主な考えは、「すべてが良かったが、悪くなった」というものでした。 9か月後、彼らは私にこれのためのお金をくれました、そしてさらに2。5年後、彼らはエラーを修正し、物語の開示を許可しました。あなたは何ができますか、時々あなたは待つことができる必要があります!次の反復で、QIWIは別の概念を適用しました。これは、私にはより便利で安全に思えます。サイトのすべての詳細を表示するには、SMSから確認コードを入力する必要があります。
親愛なる友人、あなたを含め、誰もがこのバグに気づき、不平を言った可能性があります。ご覧のとおり、これには情報セキュリティに関する特定の知識は必要なく、問題の特別な検索も必要ありませんでした。すべてがほぼ単独で行われました。
猫になって、脆弱性やバグについて開発者に文句を言うと、誰もが元気になります!
オリジナルは03/23/19に私のブログで公開されました。
QIWIの脆弱性を見つけて、200ドルを稼いだ方法
All Articles