[PHÂN TÍCH] Flynow tiếp tục lộ thông tin khách hàng như thế nào?

  

     Sau bài trước thì bên Flynow có sửa chữa lại trang Api của mình vào như các bạn bây giờ truy cập thì không thể vào được http://serverFlynow.vn được nữa.
     Api của Flynow thực ra về phương thức có thay đổi một chút nhưng thực chất vẫn dựa trên nền tảng cũ.
     Chỉ đơn gian với việc sử dụng Dirb tôi tiếp tục tìm ra bộ Api tiếp theo của Y để được đưa ra dưới dạng.
     http://serverFlynow.vn/v2.
     Và toàn bộ Api lại bị lộ một lần nữa và lần này thì họ cũng đã nhanh chóng được khắc phục.

[PHÂN TÍCH] XSS của JetStar

     Cũng lại như bác Juno_okyo phân tích về XSS.
https://junookyo.blogspot.com/2012/02/khai-thac-loi-xss-nao.html

      Hôm nay mình cũng chia sẻ về một lỗi XSS của JetStar mặc dù chỉ ở trên Client nhưng nếu kết hợp tốt với Social Engineer thì cũng sẽ tạo ra một số hệ qủa nào đấy. 
     Về phần của JetStar thì cũng đã lọc những nội dung khi bạn gõ "/" hoặc một số ký tự khác đều sẽ bị mã hóa nhưng ở đây lại không mã hóa khi để trong "<" ">".

      Vì vậy mình có đường link sau:
http://cruises.jetstar.com/emailus.rvlx?message=%22%3CVisit%20link:%20http://basicsecurityvn.blogspot.vn%20de%20nhan%20duoc%20khuyen%20mai%2050%%3E

     Và kết qủa thu được.

     Hiện tại đã thông báo cho Admin của JetStar. Mặc dù là một lỗi không nghiêm trọng nhưng có thể gây ra một số hậu qủa nếu Admin hoặc User vô tình truy cập vào đường link gỉa mạo.
     Sắp ra mắt: Z đã lộ thông tin như thế nào?

[PHÂN TÍCH] Flynow đã để lộ thông tin như thế nào???

     Hiện nay, với việc phát triển của công nghệ thông tin thì việc đặt hàng qua mạng qua các Mobile Apps thường xuyên sử dụng nhưng chúng cũng tiềm ẩn rất nhiều nguy cơ.

     

     Trong thời gian nghỉ tết rảnh rỗi và cũng tránh tình trạng chen lấn, xô bồ khi đi xe khách tôi đã tìm trên google với nội dung: “Đặt vé máy bay giá rẻ” ngay những trang đầu đã thấy một trang đặt vé với tên miền khá hay cùng với đó là hỗ trợ ứng dụng di động vậy thì thử vào đặt xem sao.

      Phiên bản Web bị lỗi không thể đăng ký tài khoản thành viên, tiện đang ngồi nghịch Man in the Middle để bắt mấy gói tin người của mấy máy tính trong nhà nên thử tải về ứng dụng Đặt vé xem sao.

     

     Kết hợp giữa Man in the Middle và WireShark thì tôi thu được nội dung bao gồm cả API giữa Client và Server.

 

     Thử dụng một API xem sao: GET CITY AIRPORT thu được.

     Tiếp tục tôi thử xóa đi chỉ để http://serverY.vn/api/

      Kết quả thu được:

 

     Vậy là trang API cũng đã được cài 404 để không thể xem Directory. Tôi tiếp tục xóa tiếp thì thu được như sau. Các bạn chú ý có phầm API trên đỉnh.

     

     Khi ấn vào thì toàn bộ API đã được công khai không một biện pháp bảo vệ nào cả.

     Thử nhập http://serverFlynow.vn/api/Order/GetOrderById?orderId=132979

 

     Tiếp tục với http://serverFlynow.vn/api/Order/GetOrderFlight?orderId=132979

 

     Vậy là toàn bộ thông tin ngày đi, đến, Order đã được lấy.

      Tiếp tục thử http://serverFlynow.vn/api/Order/GetOrderContactInfoByOrderId?orderId=132979

 

      Cả tên, số điện thoại, địa chỉ email cũng đã được truy cập.

      Chỉ cần viết một tools nhỏ để thu thập dữ liệu là toàn bộ dữ liệu đặt hàng, cũng như thông tin khách hàng đã được truy cập.

 

     Kết quả thu được:

     Bài viết trên đây sử dụng những kỹ thuật đơn giản không có gì khó mà đã lấy được những thông tin quan trọng của khách hàng.

      Tôi đã thông báo và được bộ phận kỹ thuật của công ty xử lý, hiện thời đang chấm dứt kết nối của ứng dụng.

      Theo như tôi tìm hiểu thì rất nhiều ứng dụng di động đang sở hữu những lỗi lập trình, bảo mật cơ bản vì vậy mỗi lập trình viên nên chú ý hơn đến bảo mật thông tin cho ứng dụng di động.

     Bài viết sau sẽ hướng dẫn một số nội dung về bảo mật ứng dụng di động.