История одной цепочки багов #1. Детальное изучение и человеческий фактор.
1. При тестировании сервиса был обнаружен частично открытый Confluence, где были доступны всякие страницы с документацией. При детальном изучении на одной из страниц были обнаружены ссылки приглашения в приватный чат, где сидели операторы сервиса.
2. В самом чате было достаточно много конфиденциальной информации, но я решил пойти дальше (тут нужно отметить, что владельцы мне одобрили фишинг, такое может быть редко). В чате также была поддержка у них прямо в имени было написано (Иван Поддержка). Переименовался и начал ждать, пока у кого-то из операторов не возникнет проблема со входом в операторскую, при изучении чата было замечено, что такие проблемы у них возникают часто.
3. Один из операторов написал, что у него проблема со входом. И тут я быстро написал в личку и попросил скинуть пароль, для изучения проблемы. Зашел в аккаунт, запросил OTP, тоже получил и зашел в операторскую.
4. А дальше все мы знаем, что в таких не публичных сервисах можно найти много багов. В такой ситуации команда обычно делает тестовый аккаунт, чтобы тестирование не проводилось под реальным аккаунтом.
Без разрешения команды фишить конечно же нельзя! По умолчанию фишинг запрещенный ход.
#chain #bugs
1. При тестировании сервиса был обнаружен частично открытый Confluence, где были доступны всякие страницы с документацией. При детальном изучении на одной из страниц были обнаружены ссылки приглашения в приватный чат, где сидели операторы сервиса.
2. В самом чате было достаточно много конфиденциальной информации, но я решил пойти дальше (тут нужно отметить, что владельцы мне одобрили фишинг, такое может быть редко). В чате также была поддержка у них прямо в имени было написано (Иван Поддержка). Переименовался и начал ждать, пока у кого-то из операторов не возникнет проблема со входом в операторскую, при изучении чата было замечено, что такие проблемы у них возникают часто.
3. Один из операторов написал, что у него проблема со входом. И тут я быстро написал в личку и попросил скинуть пароль, для изучения проблемы. Зашел в аккаунт, запросил OTP, тоже получил и зашел в операторскую.
4. А дальше все мы знаем, что в таких не публичных сервисах можно найти много багов. В такой ситуации команда обычно делает тестовый аккаунт, чтобы тестирование не проводилось под реальным аккаунтом.
Без разрешения команды фишить конечно же нельзя! По умолчанию фишинг запрещенный ход.
#chain #bugs