Mình đi vào con đường Pentest cũng với mục đích đam mê là chính, ngoài công việc hành chính trên công ty, buổi tối mình thường dùng ít thời gian để giải trí bằng việc Pentest cũng như tìm lỗ hổng của các hệ thống, website của các doanh nghiệp, công ty ở Việt Nam và gửi report đến họ. Có người nói mình làm việc bao đồng cũng được, có người gọi thì đây là White Hat, vì mình gửi Report xong cũng không cần Bounty hay Reward, đôi khi nhận lại Email cảm ơn cũng thấy ấm lòng rồi.
Hôm nay cuối tuần mà lại trời mưa, làm cốc Cafe mà nghĩ lại các việc mình đã làm thấy có chút vui mà đâu đó cũng có chút tâm trạng. Mấy nay dịch quá, ghệ thì không có, lương thì chưa nhận, chiếc wave cà tàng thì bị nước vô bugi đạp không nổ, thôi thì ở nhà qwerty đỡ cho hết thời gian. Đang trên đường đi qua Nhật thỉnh kinh thì mình tìm thấy một lỗi cơ bản trong cấu hình GitLab tự host nghiêm trọng. Đó là không giới hạn quyền truy cập vào GitLab của doanh nghiệp, cá nhân.
Khi truy cập vào đường dẫn GitLab của một công ty thì thấy xuất hiện trang đăng nhập. Nhìn qua thì tưởng chừng bảo mật nhưng thực chất có thể bypass dễ dàng bằng cách sau:
Nếu như bạn làm trong lĩnh vực Công nghệ thông tin (Lập trình, An ninh mạng, …) thì có thể dễ dàng nhận thấy mức độ ảnh hưởng của việc lộ mã nguồn. Dữ liệu bị rò rỉ này nếu kẻ xấu có được sẽ cực kỳ nguy hiểm, vì trong mã nguồn bao gồm các tài khoản, mật khẩu dùng để kết nối đến cơ sở dữ liệu chính. Ngoài ra rò rỉ mã nguồn còn dẫn đến nhiều hệ trọng khác, kẻ tấn công có thể sử dụng các công cụ SCA để dò lỗi của mã nguồn, từ đó tấn công Ứng dụng hiện hành.
Khá bất ngờ khi ở Việt Nam vẫn có nhiều công ty dính lỗi cơ bản này, xin gọi tắt là công ty F và công ty I. Việc xem mã nguồn sản phẩm bị lộ chả khác gì nhà tắm mà không có cửa 🤤. Bạn nào có xem trường hợp Source FIFA 2021 đang bị Hack rao bán thì sẽ hiểu nó ảnh hưởng công ty như thế nào. Tất nhiên là bắt tay vào gửi Email Report rồi, một phần hạn chế thấp nhất nguy cơ rủi ro thì lỗi bảo mật này đối với công ty ở Việt Nam, một phần là niềm vui của mình khi nhận được lời cảm ơn từ các đơn vị được mình Report.
![[Tâm sự] Những Email Report chưa bao giờ được hồi đáp 7](https://anonyviet.com/wp-content/uploads/2021/06/mail-gui-report-ichck.jpg "[Tâm sự] Những Email Report chưa bao giờ được hồi đáp 23")
Ngay sau đó vài tiếng mình đã nhận được hồi âm, từ công ty F, tuy nội dung ngắn gọn nhưng họ đã hiểu tầm quan trọng việc lỗ hổng này, cũng nhưng không quên cảm ơn ngay từ đầu. Mình chỉ cần vậy là đủ, không yêu cầu gì thêm, xem như xong 1 nhiệm vụ.
![[Tâm sự] Những Email Report chưa bao giờ được hồi đáp 8](https://anonyviet.com/wp-content/uploads/2021/06/f-feedback.jpg "[Tâm sự] Những Email Report chưa bao giờ được hồi đáp 24")
Tiếp tục hôm nay lại trời mưa, ly cafe hôm trước xuống chưa xong, tính húp thêm ngụm nữa rồi đi thỉnh kinh cho hưng phấn thì chợt nhớ ra còn bên công ty I chưa thấy reply mail, không lẽ mình report sai địa chỉ nhỉ. Vô check spam vẫn không thấy, nếu trường hợp này không fix lẹ có nguy cơ ảnh hưởng đến công ty của họ (hơi lo chuyện bao đồng), mình vô check lại lỗi này một lần nửa để xem đã fix chưa, nếu chưa thì sẽ liên hệ bằng cách khác, nhưng ôi thôi, công ty I đã Fix từ lúc nào rồi, một cái reply, 1 lời feedback, 1 câu cảm ơn cũng không có. Là Pentest White Hat mình cũng không đòi hỏi gì về giá trị tiền thưởng hoặc yêu cầu bounty để tiết lộ lổ hổng, cái mình cần là họ xác nhận lỗ hổng có ảnh hướng đến công ty đó không và đã Fix chưa. Nhưng mình có phần thất vọng về cách xử lý thông tin của Công ty này.
Đối với người Á Đông thì cảm ơn là một nét văn hóa gì đó có từ rất lâu và mình học ngay từ khi mới tập nói. Câu cảm ơn tuy không phải là vật chất, chỉ là lời nói, câu viết nhưng nó chứa đựng một sự ý nghĩa rất lớn đối với người đã giúp bạn. Tất nhiên việc này cũng không quan trọng lắm, vì đây chỉ là tâm trạng lúc trời mưa của mình thôi.
Mình vẫn tiếp tục niềm đam mê Pentest của mình, cuộc sống đôi khi sẽ gặp được nhiều ân nhân, những người bạn tâm giao, đôi khi cũng là người dưng mà thôi. Sống tiếp tục vui vẻ với đam mê là được rồi.
Xin kết lại bài này của mình về nội dung của Giá trị lời cảm ơn trong cuộc sống.
Đ.H.K
Hình thumbnail nguồn từ Tuổi trẻ cười
Xem Them Chi Tiet
Nhung Mon Do Cong Nghe Duoc Yeu Thich
Do Cong Nghe Phu Kien
Xem Them Chi Tiet
Phu nu phai dep dan ong moi yeu! Sam ngay bo vay dam sieu dep
Thanh xuan nhu mot tach trá Khong mua do hot phi hoai thanh xuan
0 Comments:
Đăng nhận xét