Ну, вообщем не так давно мне стали интересна структура и домены сбербанка. (это было по работе) И я начал усиленно гуглить и брутить поддомены по словарику. И наткнулся на очень интересный поддомен data.sberbank.ru, жаль что не успел сделать скрины( ну, выглядело это всё так вот: http://archive.ec/hu7zv С этого всё и началось) Я запустил самописанный скриптик и "натравил" его на сайт. Спустя 10 минут он выдал мне полную информацию о дерикториях и интересное сообщение на счет куки параметра 'sbrf_region', который и оказался уязвим к time sql иньекции. Я начал пытаться раскручивать его по всем известным мне векторам... В конце концов увидев в хедере сервера "Micrasoft", я подумал что бд тоже Майкрасофтовскя и вспомнил вектор, о котором я читал на 'wooyun'. (на сайте сейчас висит окно с тех работами, но разработчики сейчас под судом. подробнее - https://xakep.ru/2016/08/02/wooyun-arrested/) Вообщем вот инфа об этом векторе с кешеов Гугла: Code: Type: AND/OR time-based blind Title: Microsoft SQL Server/Sybase AND time-based blind (heavy query) Payload: ClassID=42) AND 6013=(SELECT COUNT(*) FROM sysusers AS sys1,sysuser s AS sys2,sysusers AS sys3,sysusers AS sys4,sysusers AS sys5,sysusers AS sys6,sy susers AS sys7) AND (1268=1268&Type=0&page=1 Конечно я её изменил на свой лад, и накатал ещё 1 скриптик с ее эксплуатацией. Им я смог сбрутить 3 буквы ДБ (за 2 часа) . Ну, начал я писать ребятам об данной уязвимости. Опыта написания баг репорта у меня нету и написал я всё очень просто (раньше баг репорт строчил мой коллега, но потом его взяли в digital security.Парень реально сообразительный и старше меня на целых 2 курса) я дописал им ещё сообщение и отправил... После меня попросили ещё об 1: http://pix.my/fhaDefaG прислать скриншоты) ну ладно, и я полез снова на этот домен... НО к моему сожалению Домен был уже прикрыт (а точнее редиректил меня, даже сейчас перейдя по этому домену выходит редирект( ) http://pix.my/t7rpA0H2 Ну, и окончание: http://pix.my/phXh7RTe Ебать совпадение, правда? http://pix.my/JX6JQXeB Ну, это с их стороны достаточно плохо) И в следующий раз я точно не укажу им на уязвимость. (хотя, я не раз уже находил в сбербанке типичные xss). Итог: я остался зол на них, хотя может у них специалисты не очень умны и вектор воспроизвести не смогли. Хотя, у них в партнерах есть DG и PT.
