В Мексике начинается медиа дэй 🎥
Все вчера наелись фахитоса и уже несут свои отёки в сторону паддока😊
Все вчера наелись фахитоса и уже несут свои отёки в сторону паддока😊
❤488❤🔥81💘49😁26💋6🍓4🤣3
Крейзи история о том, как 3 фаната ф1, которые шарят в компуктерах за 10 минут нашли уязвимость в безопасности портала FIA и получили доступ к личным данным всех зарегистрированных там гонщиков 🥴
Вот, что они рассказали в иксе:
«Чтобы участвовать в Формуле-1, гонщикам нужна Суперлицензия FIA. Это как “золотой билет” в автоспорт.
FIA также классифицирует гонщиков как Bronze, Silver, Gold или Platinum для других соревнований.
Эта система управляется через веб-портал driverscategorisation.fia.com.
Портал публичный, любой может создать учётную запись и подать заявку на категоризацию гонщика.
Вы загружаете документы, отправляете историю выступлений и ждёте одобрения.
То же самое и с профессиональными гонщиками F1, они получают автоматический статус Platinum и используют ту же систему.
Мы создали тестовую учётку, чтобы немного “покопаться”.
Как и на любом сайте, можно обновить свой профиль - изменить имя, почту и т. д.
Ничего особенного. Обычный пользователь редактирует свои данные.
Но затем мы заметили кое-что интересное…
Когда мы отправили запрос на обновление профиля, сервер вернул больше данных, чем мы ему передали.
Мы отправили: имя и почту.
А получили: имя, почту, дату рождения, статус и… поле “roles” (роли).
Почему сервер сообщил нам о ролях?
Мы посмотрели код сайта и нашли несколько типов ролей:
DRIVER (обычные пользователи)
FIA_STAFF (сотрудники)
ADMIN (полный доступ).
У нас появилась теория: а что если просто попросить сделать нас администраторами? Проверит ли сервер это вообще?
Мы изменили наш запрос обновления профиля, добавив туда: “Make me an ADMIN”
(технически — просто добавили роль ADMIN в JSON-запрос).
Отправили.
Ответ: HTTP 200 Success.
Подождите… это реально сработало? (Да, сработало…)
Мы снова вошли в систему.
Интерфейс полностью изменился.
Больше не отображалась панель гонщика — теперь это была админ-панель.
Доступны:
– все заявки гонщиков,
– все загруженные документы,
– внутренние комментарии FIA,
– инструменты управления персоналом.»
Мы также видели внутренние коммуникации FIA:
обсуждения комитетов о выступлениях гонщиков, частные оценки, конфиденциальные процессы принятия решений.
Всё, что видели сотрудники FIA - видели и мы.
Один запрос превратил нас из пользователей в администраторов.
Из любопытства мы открыли профиль Макса Ферстаппена — и могли загрузить:
– его паспорт,
– личные контактные данные,
– переписку с FIA,
– лицензионные документы.
Важное уточнение: мы НЕ скачивали и не сохраняли никакие паспорта или личные данные.
Мы лишь подтвердили существование уязвимости, сделали скриншоты для доказательства и сразу прекратили тестирование.
Все тестовые данные были удалены.
Никакая информация гонщиков не была скомпрометирована нами.
Так что же это была за ошибка?
Она называется “Mass Assignment” — классическая уязвимость веб-/API-безопасности.
Проще говоря: сервер доверял любым данным, которые мы ему отправляли, не проверяя, можно ли нам вообще изменять эти поля.
Мы сотрудничали с FIA, чтобы быстро устранить проблему.
Огромное спасибо их команде за оперативную реакцию и серьёзное отношение к вопросу.»
🤯😆🤯😆
ГДЕ ДЕНЬГИ, БЕН???? Куда идут деньги со штрафов за матюки и за опоздание на 10 секунд на исполнение гимна???? И это в мире где все трясутся за дата протекшон ?? А можно взломать систему, где будут данные о том, как он проводил свою «кампанию» по устранению конкурентов на выборах?))
Вот, что они рассказали в иксе:
«Чтобы участвовать в Формуле-1, гонщикам нужна Суперлицензия FIA. Это как “золотой билет” в автоспорт.
FIA также классифицирует гонщиков как Bronze, Silver, Gold или Platinum для других соревнований.
Эта система управляется через веб-портал driverscategorisation.fia.com.
Портал публичный, любой может создать учётную запись и подать заявку на категоризацию гонщика.
Вы загружаете документы, отправляете историю выступлений и ждёте одобрения.
То же самое и с профессиональными гонщиками F1, они получают автоматический статус Platinum и используют ту же систему.
Мы создали тестовую учётку, чтобы немного “покопаться”.
Как и на любом сайте, можно обновить свой профиль - изменить имя, почту и т. д.
Ничего особенного. Обычный пользователь редактирует свои данные.
Но затем мы заметили кое-что интересное…
Когда мы отправили запрос на обновление профиля, сервер вернул больше данных, чем мы ему передали.
Мы отправили: имя и почту.
А получили: имя, почту, дату рождения, статус и… поле “roles” (роли).
Почему сервер сообщил нам о ролях?
Мы посмотрели код сайта и нашли несколько типов ролей:
DRIVER (обычные пользователи)
FIA_STAFF (сотрудники)
ADMIN (полный доступ).
У нас появилась теория: а что если просто попросить сделать нас администраторами? Проверит ли сервер это вообще?
Мы изменили наш запрос обновления профиля, добавив туда: “Make me an ADMIN”
(технически — просто добавили роль ADMIN в JSON-запрос).
Отправили.
Ответ: HTTP 200 Success.
Подождите… это реально сработало? (Да, сработало…)
Мы снова вошли в систему.
Интерфейс полностью изменился.
Больше не отображалась панель гонщика — теперь это была админ-панель.
Доступны:
– все заявки гонщиков,
– все загруженные документы,
– внутренние комментарии FIA,
– инструменты управления персоналом.»
Мы также видели внутренние коммуникации FIA:
обсуждения комитетов о выступлениях гонщиков, частные оценки, конфиденциальные процессы принятия решений.
Всё, что видели сотрудники FIA - видели и мы.
Один запрос превратил нас из пользователей в администраторов.
Из любопытства мы открыли профиль Макса Ферстаппена — и могли загрузить:
– его паспорт,
– личные контактные данные,
– переписку с FIA,
– лицензионные документы.
Важное уточнение: мы НЕ скачивали и не сохраняли никакие паспорта или личные данные.
Мы лишь подтвердили существование уязвимости, сделали скриншоты для доказательства и сразу прекратили тестирование.
Все тестовые данные были удалены.
Никакая информация гонщиков не была скомпрометирована нами.
Так что же это была за ошибка?
Она называется “Mass Assignment” — классическая уязвимость веб-/API-безопасности.
Проще говоря: сервер доверял любым данным, которые мы ему отправляли, не проверяя, можно ли нам вообще изменять эти поля.
Мы сотрудничали с FIA, чтобы быстро устранить проблему.
Огромное спасибо их команде за оперативную реакцию и серьёзное отношение к вопросу.»
🤯😆🤯😆
ГДЕ ДЕНЬГИ, БЕН???? Куда идут деньги со штрафов за матюки и за опоздание на 10 секунд на исполнение гимна???? И это в мире где все трясутся за дата протекшон ?? А можно взломать систему, где будут данные о том, как он проводил свою «кампанию» по устранению конкурентов на выборах?))
💔496🤣241❤102😨43🤯17❤🔥7😁6💘5🍓4🔥3👍2
🇦🇷 🔵 Пишут, что Франко Колапинто официально по слухам уже точно при точно, зуб дают, за базар отвечают, останется в Alpine в 2026 году
Please open Telegram to view this post
VIEW IN TELEGRAM
❤379🤣276🙏47😁16💘7🤬6❤🔥5🍓3🤷♀2
🇲🇽 Кто помнит эту имбу 2023 года?
Хооооооли граааль, это было эпично. Я обычно забывают гонки на следующий день, но этот первый круг Мехико 2023 не забуду никогда.
Под каким давление Чеко тогда выходил на старт у меня не хватит даже слов описать. Его уже готовы были списать со счетов и 24 год в RB был под большим вопросом, но он и его команда в свойственной им манере уверяли, что все идет по плану и в Мехико, на родной земле он точно покажет всем, чего он стоит. Случилось то, что случилось. Хрестоматийная иллюстрация того, когда давление домашний гонки играет ужасную шутку с гонщиком.
Леклеру, доехавшему до подиума, потом пришлось извиняться перед всей Мексикой, хотя вины его было ровно ноль (отдельное внимание на то, как его рука эмоционально жила своей жизнью хаха). Но толпе было все равно, буинг был мощный.
Что пережил тогда Серега, я вообще не представляю.
Хооооооли граааль, это было эпично. Я обычно забывают гонки на следующий день, но этот первый круг Мехико 2023 не забуду никогда.
Под каким давление Чеко тогда выходил на старт у меня не хватит даже слов описать. Его уже готовы были списать со счетов и 24 год в RB был под большим вопросом, но он и его команда в свойственной им манере уверяли, что все идет по плану и в Мехико, на родной земле он точно покажет всем, чего он стоит. Случилось то, что случилось. Хрестоматийная иллюстрация того, когда давление домашний гонки играет ужасную шутку с гонщиком.
Леклеру, доехавшему до подиума, потом пришлось извиняться перед всей Мексикой, хотя вины его было ровно ноль (отдельное внимание на то, как его рука эмоционально жила своей жизнью хаха). Но толпе было все равно, буинг был мощный.
Что пережил тогда Серега, я вообще не представляю.
💘292❤100💔46🔥37😢35❤🔥7💯1🍓1
И с чистого листа, опять начнем сначала 🎤
McLaren больше не планируют применять “repercussions” к Ландо Норрису ввиду инцидента в спринте Остина - подтвердил Оскар Пиастри.
McLaren больше не планируют применять “repercussions” к Ландо Норрису ввиду инцидента в спринте Остина - подтвердил Оскар Пиастри.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤297🤪177🍓27🤣17🫡11❤🔥5💘5✍3😢1