Теми рефератів
> Реферати > Курсові роботи > Звіти з практики > Курсові проекти > Питання та відповіді > Ессе > Доклади > Учбові матеріали > Контрольні роботи > Методички > Лекції > Твори > Підручники > Статті Контакти
Реферати, твори, дипломи, практика » Отчеты по практике » Тестування інформаційних систем

Реферат Тестування інформаційних систем





аргумент CSRF-ID, який не зможе генеруватися через відправку запитів зі сторонніх серверів, або буде генерувати невірне значення для конкретного авторизованого користувача, в результаті чого запит не оброблений.

Інші недокументовані можливості

Форма авторизації користувача на порталі початку не мала обмежень на кількість спроб авторизаций з неправильним логіном і/або паролем. Веб-програмісти, з відділу з розробки, аргументували таку можливість тим, що логіном для авторизації був e-mailпользователя, який ніде не був наданий у відкритому вигляді, тобто користувачі можуть бачити тільки нікнейми один одного. Але чи справді, e-mailпользователя настільки не доступний, як здається на перший погляд? p align="justify"> Найпростіший варіант - зловмисник за допомогою обману міг дізнатися у гравця його e-mail, і згодом без труднощів підбирати пароль (наприклад, за допомогою автоматизованих скриптів). Але даний варіант не є точним, і варіант впливу - точковий, тобто тільки на один конкретний аккаунт. p align="justify"> Пізніше мною була знайдена інша можливість масового обнаруженіяe-mail користувачів. Так як ігровий проект WorldOfTanks є проектом - В«freetoplayВ» (бізнес-модель, спосіб поширення комп'ютерних ігор, що дозволяє користувачеві грати без внесення грошових коштів, але, при внесенні грошових коштів, користувач отримував деяку перевагу), то проект приймав грошові кошти користувачів з різних країн, при цьому розрізняється не тільки вид грошової валюти, а й способи оплати. Для того щоб всі грошові кошти, внесені користувачами проекту, можна було отримати в одній валюті і в одному варіанті виплати, організація скористалася послугами агрегатора платежів 2pay.ru (xsolla.ru). p align="justify"> Агрегатор платежів виконує роль посередника, конвертуючи всілякі валюти і способи оплати в одну валюту, передану згодом організації, яка користується їх послугами.

При внесенні грошових коштів на свій аккаунт, користувач потрапляв на сторінку з інформацією про оплату, в якій повідомлялося про статус платежу, вказувалися сума, дата унікальний номер транзакції та реквізит платежу. А реквізит платежу - e-mailігрока:


В 

Саме посилання на сторінку з інформацією про оплату мала вигляд:

http://secure.xsolla.com /? payment = 29512195.

Як можна помітити, посилання містить параметр В«paymentВ», який збігається з унікальним номером транзакції. Як виявилося, при зміні посилання, приймаючи значення параметра від 0 до 29512195, можна було переглядати абсолютно усі платіжки цього агрегатора на поточний момент. p align="justify"> Мною був написаний автоматизований скрипт, який проходив всі значення цього параметра, і записував в текстовий файл всі значення реквізитів (тобто e-mailпользователей) і кількість внесених грошових коштів. При цьому, необхідно було звертати увагу тільки на сторінки з полем В«ПродавецьВ» і його значенням В«WorldOfTanksВ», так як агрегатор платежів обслуговував та інші проекти, які нам не цікаві. Зібрана мною база e-mailпользователей (вони ж логіни при авторизації) налічувала близько 570 000 записів платоспроможних гравців проекту, що є серйозною витоком конфіденційних даних користувачів. br/>В 

Маючи на руках зібрану базу логінів від акаунтів гравців, мною був проведений експеримент, по спробі підбору паролів. Був написаний автоматизований скрипт, який перевіряв кожен логін з бази на десять найпоширеніших паролів:



123456


qwerty

qwertyuiop

qazwsx

zaqxsw


qazwsxedc

gfhjkm

ghbdtn


Як показали результати експерименту, грубому перебору по десятці перерахованих паролів піддалися ~ 20% всіх логінів.

Зібрана статистика та результати експерименту були передані у відділ розробки програмістам, які заблокували можливість багаторазового невірного введення пароля та/або логіна на порталі проекту. Сама можливість збору бази через сайт-агрегатор платежів була теж виправлена, шляхом додавання в адресу сторінки параметра В«hashВ», кіт орий генерувався для кожного платежу окремо і був доступний тільки користувачеві, проводящему платіж: http://secure.xsolla.com/?payment = 29512195 & hash = ac53b097df ...

Висновок


У ході виконання індивідуального завдання на посаді хак-майстра в СТОВ В«Гейм СтрімВ» я навчився:

В§ Проводити технічні тести на уразливості веб-інтерфейсу;

В§ Проводити технічні тести на уразливості програмного пр...


Назад | сторінка 6 з 7 | Наступна сторінка





Схожі реферати:

  • Реферат на тему: Сутність, значення, функції грошових коштів в касі організації в національн ...
  • Реферат на тему: Стягнення митних платежів за рахунок грошових коштів, що знаходяться на рах ...
  • Реферат на тему: Аутентифікація та ідентифікація користувачів в мережі за допомогою паролів
  • Реферат на тему: Роль і місце позикових коштів в кругообігу грошових коштів сучасних організ ...
  • Реферат на тему: Аудит обліку руху та збереження грошових коштів та грошових документів