Menu
Cases
Проблемы, которые мы решили
Спасли клиентов web-сервиса от уголовной ответственности

Как мы это сделали

Для регистрации на сайте пользователям необходимо загружать документы. Мы написали скрипт для массовой загрузки файлов и использовали его для переполнения места на web-сервере. Это привело к ошибкам на сайте. В сообщении об ошибке были обнаружены логин и пароль от базы данных сайта. Выяснилось, что данный пароль использовался и для доступа к web-серверу по протоколу SSH с правами root. Так был получен полный контроль над web-сервером.

Возможный ущерб

Зарегистрированные на сайте пользователи могут совершать юридически значимые действия. Злоумышленник мог бы сорвать крупную сделку, исказив юридически значимую информацию, предоставленную клиентом web-сервиса. Такой клиент подвергся бы уголовному преследованию.

Как мы это устранили

Настроили фильтрацию по типу и количеству загружаемых файлов. Улучшили реализацию CSRF-токенов в cookies. Настроили уникальную и высокоэнтропийную генерацию значения _token. Отключили для пользователей сайта вывод системных ошибок. Отключили доступ к web-серверу по протоколу SSH через логин/пароль, настроили доступ к web-серверу через SSH-ключ.

Подать заявку Вернуться назад
Спасли клиентов web-сервиса от уголовной ответственности
02 | 05

Защитили финансовую организацию от шантажа и краха репутации

02