Сегодня я вам расскажу историю связанную с одной из известных веб студий. А точнее про notamedia.ru.Если вкратце, то эта компания заняла 11 место в ТОП100 вебстудий рунета, то есть впринципе неплохо.
Также впечатляют их клиенты, среди них Эхо Москвы, Интерфакс, Правительство Московской области, Партия «Единая Россия», Аэрофлот, и другие (подробнее можно посмотреть на их офсайте). То что я расскажу далее наверное будет неплохим поводом задуматься клиентам над тем, стоило ли им выбирать именно эту компанию.
Вообщем эта история началась где то две недели назад. Один из моих хороших знакомых написал мне в аську о том что у него есть веб шелл на сайте notamedia.
Пожалуй приведу лог нашего с ним диалога:
***
ПриветInSys
Привет***
Слушай) У меня есть веб шелл на notamedia, не знаешь что с ним можно сделать?InSys
Notamedia? а кто это?***
Довольно известная вебстудия рунета, 11-ое место в рейтингеInSys
Ясно, ну попробуй продай ;)***
Да я пробывал, но никому не нужен… =(InSys
Ну хз… Подари его мне )***
А тебе нах?InSys
Не знаю, просто так) Авось пригодится
И вот так я тоже стал счастливым обладателем адреса веб шелла на офсайте нотамедии, а также информацией о том как он был залит.
Откровенно говоря не знаю зачем мне этот шел был нужен, но как говорится почему бы и нет) И вот неделю назад я решил написать им сообщение на email, в котором я постарался максимально вежливо обрисовать ситуацию. Пожалуй процитирую письмо:
Здравствуйте!
У меня имеется веб шелл на вашем офф сайте. В качестве подтверждения данного факта привожу выдержку из вашего конфига:
[вырезанно]Хочу предложить вам бартер. Я делюсь адресом веб шелла, и расскажу как он был залит, а вы в знак благодарности поставите ссылочку с вашего сайта на мой блог. Ссылочку простенькую, на главную страницу моего блога, с адекватным анкором, доступную для поисковиков, и без nofollow. Ну и если вам нужен в штат спец по аудиту безопасности, то я буду согласен с вами работать, но только удаленно.
Расценивайте это не как угрозу, а как помощь вам, так как я собираюсь поделится шелом с вами в любом случае. Но все же мне хотелось бы получить что нибудь взамен. Можно конечно и не ссылку, но ничего другого в голову мне не приходит.
Кому лень читать — я попросил ссылку на мой блог с их офсайта взамен на адрес веб шелла.
Казалось бы, вполне адекватное предложение, не так ли? Но вот прошла неделя, и мне пишет тот же хороший знакомый:
***
Приколись) они поменяли данные из конфигаInSys
А шел живой?***
Да =))
И внимание! От них так до сих пор не поступило ни одного ответа! Им тупо пофиг! Ну вот как так можно? Хоть я и обещал им поделится адресом веб шела в любом случае, но после такого наплевательского отношения, это желание пропало. Поэтому я пожалуй оставлю все как есть…
Мог бы и поделиться багом)
А вообще да, я так как-то нашел xss на башорге, отписал им: они его быстро исправили и даже спасибо не сказали.
Откровенно говоря для меня дико такое отношение. До этого ото всех людей к кому я обращался с подобными предложениями я слышал как минимум благодарность в ответ. А тут просто игнор.
Да и Ваш случай с башоргом тоже жесть =(
Красавчик.
Нашел чо интересное?
я там работал, прикинь. год назад.
Да я как то целенаправленно ничего там не искал =)
Обычный сервер, обычный сайт. Правда соседей целая куча. Но не было желания лезть куда либо.
Зато теперь у тебя появился повод поглумится над ними после ухода +)
да в общем то поводы были и в процессе работы.
если серьезно, я уже пару дней ищу тебе инвайт на хабр.
мне кажется, говорить им где шелл не нужно, а вот пост этот наверное убрать.
Ого. За поиск инвайта спасибо большое, очень приятно)
Только вот пост я убирать не собиралс. При его написании я преследовал цель пристыдить их, при этом я нигде не соврал, так что неправоты за собой не вижу.
Нет, если конкретно Вас, как бывшего работника, он чем то задевает, то я уберу, мне не жалко. А вообще посмотрим, напишут ли мне что либо из самой компании =)
чем дело-то кончилось?