Please open Telegram to view this post
VIEW IN TELEGRAM
😍552❤🔥129❤72👀18🍓11💋10💘6👍4🍾3💅3🔥2
В Мексике начинается медиа дэй 🎥
Все вчера наелись фахитоса и уже несут свои отёки в сторону паддока😊
Все вчера наелись фахитоса и уже несут свои отёки в сторону паддока😊
❤488❤🔥81💘49😁26💋6🍓4🤣3
Крейзи история о том, как 3 фаната ф1, которые шарят в компуктерах за 10 минут нашли уязвимость в безопасности портала FIA и получили доступ к личным данным всех зарегистрированных там гонщиков 🥴
Вот, что они рассказали в иксе:
«Чтобы участвовать в Формуле-1, гонщикам нужна Суперлицензия FIA. Это как “золотой билет” в автоспорт.
FIA также классифицирует гонщиков как Bronze, Silver, Gold или Platinum для других соревнований.
Эта система управляется через веб-портал driverscategorisation.fia.com.
Портал публичный, любой может создать учётную запись и подать заявку на категоризацию гонщика.
Вы загружаете документы, отправляете историю выступлений и ждёте одобрения.
То же самое и с профессиональными гонщиками F1, они получают автоматический статус Platinum и используют ту же систему.
Мы создали тестовую учётку, чтобы немного “покопаться”.
Как и на любом сайте, можно обновить свой профиль - изменить имя, почту и т. д.
Ничего особенного. Обычный пользователь редактирует свои данные.
Но затем мы заметили кое-что интересное…
Когда мы отправили запрос на обновление профиля, сервер вернул больше данных, чем мы ему передали.
Мы отправили: имя и почту.
А получили: имя, почту, дату рождения, статус и… поле “roles” (роли).
Почему сервер сообщил нам о ролях?
Мы посмотрели код сайта и нашли несколько типов ролей:
DRIVER (обычные пользователи)
FIA_STAFF (сотрудники)
ADMIN (полный доступ).
У нас появилась теория: а что если просто попросить сделать нас администраторами? Проверит ли сервер это вообще?
Мы изменили наш запрос обновления профиля, добавив туда: “Make me an ADMIN”
(технически — просто добавили роль ADMIN в JSON-запрос).
Отправили.
Ответ: HTTP 200 Success.
Подождите… это реально сработало? (Да, сработало…)
Мы снова вошли в систему.
Интерфейс полностью изменился.
Больше не отображалась панель гонщика — теперь это была админ-панель.
Доступны:
– все заявки гонщиков,
– все загруженные документы,
– внутренние комментарии FIA,
– инструменты управления персоналом.»
Мы также видели внутренние коммуникации FIA:
обсуждения комитетов о выступлениях гонщиков, частные оценки, конфиденциальные процессы принятия решений.
Всё, что видели сотрудники FIA - видели и мы.
Один запрос превратил нас из пользователей в администраторов.
Из любопытства мы открыли профиль Макса Ферстаппена — и могли загрузить:
– его паспорт,
– личные контактные данные,
– переписку с FIA,
– лицензионные документы.
Важное уточнение: мы НЕ скачивали и не сохраняли никакие паспорта или личные данные.
Мы лишь подтвердили существование уязвимости, сделали скриншоты для доказательства и сразу прекратили тестирование.
Все тестовые данные были удалены.
Никакая информация гонщиков не была скомпрометирована нами.
Так что же это была за ошибка?
Она называется “Mass Assignment” — классическая уязвимость веб-/API-безопасности.
Проще говоря: сервер доверял любым данным, которые мы ему отправляли, не проверяя, можно ли нам вообще изменять эти поля.
Мы сотрудничали с FIA, чтобы быстро устранить проблему.
Огромное спасибо их команде за оперативную реакцию и серьёзное отношение к вопросу.»
🤯😆🤯😆
ГДЕ ДЕНЬГИ, БЕН???? Куда идут деньги со штрафов за матюки и за опоздание на 10 секунд на исполнение гимна???? И это в мире где все трясутся за дата протекшон ?? А можно взломать систему, где будут данные о том, как он проводил свою «кампанию» по устранению конкурентов на выборах?))
Вот, что они рассказали в иксе:
«Чтобы участвовать в Формуле-1, гонщикам нужна Суперлицензия FIA. Это как “золотой билет” в автоспорт.
FIA также классифицирует гонщиков как Bronze, Silver, Gold или Platinum для других соревнований.
Эта система управляется через веб-портал driverscategorisation.fia.com.
Портал публичный, любой может создать учётную запись и подать заявку на категоризацию гонщика.
Вы загружаете документы, отправляете историю выступлений и ждёте одобрения.
То же самое и с профессиональными гонщиками F1, они получают автоматический статус Platinum и используют ту же систему.
Мы создали тестовую учётку, чтобы немного “покопаться”.
Как и на любом сайте, можно обновить свой профиль - изменить имя, почту и т. д.
Ничего особенного. Обычный пользователь редактирует свои данные.
Но затем мы заметили кое-что интересное…
Когда мы отправили запрос на обновление профиля, сервер вернул больше данных, чем мы ему передали.
Мы отправили: имя и почту.
А получили: имя, почту, дату рождения, статус и… поле “roles” (роли).
Почему сервер сообщил нам о ролях?
Мы посмотрели код сайта и нашли несколько типов ролей:
DRIVER (обычные пользователи)
FIA_STAFF (сотрудники)
ADMIN (полный доступ).
У нас появилась теория: а что если просто попросить сделать нас администраторами? Проверит ли сервер это вообще?
Мы изменили наш запрос обновления профиля, добавив туда: “Make me an ADMIN”
(технически — просто добавили роль ADMIN в JSON-запрос).
Отправили.
Ответ: HTTP 200 Success.
Подождите… это реально сработало? (Да, сработало…)
Мы снова вошли в систему.
Интерфейс полностью изменился.
Больше не отображалась панель гонщика — теперь это была админ-панель.
Доступны:
– все заявки гонщиков,
– все загруженные документы,
– внутренние комментарии FIA,
– инструменты управления персоналом.»
Мы также видели внутренние коммуникации FIA:
обсуждения комитетов о выступлениях гонщиков, частные оценки, конфиденциальные процессы принятия решений.
Всё, что видели сотрудники FIA - видели и мы.
Один запрос превратил нас из пользователей в администраторов.
Из любопытства мы открыли профиль Макса Ферстаппена — и могли загрузить:
– его паспорт,
– личные контактные данные,
– переписку с FIA,
– лицензионные документы.
Важное уточнение: мы НЕ скачивали и не сохраняли никакие паспорта или личные данные.
Мы лишь подтвердили существование уязвимости, сделали скриншоты для доказательства и сразу прекратили тестирование.
Все тестовые данные были удалены.
Никакая информация гонщиков не была скомпрометирована нами.
Так что же это была за ошибка?
Она называется “Mass Assignment” — классическая уязвимость веб-/API-безопасности.
Проще говоря: сервер доверял любым данным, которые мы ему отправляли, не проверяя, можно ли нам вообще изменять эти поля.
Мы сотрудничали с FIA, чтобы быстро устранить проблему.
Огромное спасибо их команде за оперативную реакцию и серьёзное отношение к вопросу.»
🤯😆🤯😆
ГДЕ ДЕНЬГИ, БЕН???? Куда идут деньги со штрафов за матюки и за опоздание на 10 секунд на исполнение гимна???? И это в мире где все трясутся за дата протекшон ?? А можно взломать систему, где будут данные о том, как он проводил свою «кампанию» по устранению конкурентов на выборах?))
💔496🤣241❤102😨43🤯17❤🔥7😁6💘5🍓4🔥3👍2