Предыстория: в нашей компании появилась нужда в более четкой работе службы технической поддержки, и для этого надо было внедрить HelpDesk. В результате поиска нужного решения был найден продукт компании IPI Business Solutions (http://www.ipi.ru).
Данный продукт написан на PHP и использует в работе БД MySQL либо Oracle. Принцип работы вкратце такой: существуют разделы, и в них кладутся задачи поручения работникам, которые автоматом назначаются исполнителю, который дальше может произвести эскалацию задачи. Также сохраняется вся переписка по работе и описание решения проблемы. На основе этого строятся графики эффективности, загруженности работников и прочее.
Во время внедрения была найдена куча багов и несовместимостей. Для решения проблем в лицензионном соглашении рекомендовалось не вмешиваться самому в код, а обратиться в службу поддержки, реализованную на том же продукте (http://www.ipi-control.ru/manager/-/). И как-то раз, при обновлении версии crmа, у них слетели настройки безопасности на разделах и стали публичными, т.е. стали видны все задачи как внешних пользователей, так и внутренних.
А стоит напомнить, что компания является еще и хостером -). И тут началось... В открытом виде лежат пароли на FTP и панели управления сайтами как самого хостера IPI, так и других хостеров -).
А дальше еще страшнее! Доступы RDP к ЛВСам многих компаний, а также к локальной сети самой IPI. Нашлись задачи с установкой паролей учетных записей новых пользователей в компании, среди них были и администраторы :). Не говоря уже про информацию, сугубо относящуюся к бизнесу компании и её клиентам.
Через некоторое время после нашего предупреждения безопасность разделов настроили. Но появился спортивный интерес к повторению. Первое и самое простое, что кинулось в глаза - окошечко для поиска задач по номеру.
Почему бы не ввести туда не свою задачу? И получилось :)!
Но не понравилось то, что задачи приходиться перелистывать, не зная, что в них будет. И тогда заинтересовала строка адреса, состоящая из c2smdGFzaz0xN-TA2NiZwaWQ94 (к примеру). По виду я понял, что это просто перекодировка. Изучение кода, благо он есть :), подтвердило, что там используется функция base64_decode для вытаскивания в нормальный вид строки. А дальше взлом - дело уже пяти минут. Берется рабочий CRM, на нем выводятся все задачи, либо что нужно под свои нужды :).
И строчка параметров либо тупо копируется, либо функцией base64_decode декодируется и видоизменяется по вкусу -).
И компания IPI, а также многие из их клиентов, оказываются перед вами на блюдечке :). Грустно, но они на это не реагируют. Русская надежда на авось? 🙂
