Платить не обязательно

Недавно, исследуя безопасность одного продающего сайта, я обнаружил, что получить материал можно и без оплаты.

Сразу скажу, что я действовал с согласия владельца ресурса и предоставил ему подробный отчет об имеющихся проблемах.

Меня заинтересовал блогер, имеющий более 600 тысяч подписчиков в запрещенной социальной сети. Но вообще, таких блогеров, которые что-то продают через свои сайты - очень много.

Чаще всего им собирают сайты на Tilda. Это быстро, удобно, но безопасность почти всегда уходит на второй план. Как результат - платный контент может оказаться доступным напрямую, без какой-либо оплаты.

Начало исследования

Для обнаружения потенциально уязвимых мест на сайте, я использовал популярный и бесплатный инструмент — OWASP ZAP.

Если коротко, OWASP - сообщество, которое занимается вопросами безопасности веб-приложений. ZAP - их утилита, которая позволяет просканировать сайт в пару кликов (очень популярная)

Утилиту zap можно установить с официального сайта, а после запуска она сразу предложит автоматическое сканирование.

Вставляем ссылку на объект исследования и жмем "Атака". Дождавшись завершения, мы получим подробный отчет сканирования, сгруппированный по типам найденных проблем.

Кликаем мышью на интересующую группу - смотрим список ссылок, и описание проблем для каждой из них. ZAP выгружает в отчет очень многое: например, подозрительные комментарии в коде, возможность обхода авторизации, прямые ссылки на внешние ресурсы.

В моём случае удалось обнаружить множество тестовых страниц, которые явно не были предназначены для общего доступа. В том числе и страницу, которая отображается после совершения оплаты, и в ней есть ссылки на скачивание платного материала. Вот так просто, без каких-либо реальных платежей.

Скорее всего, эти страницы были нужны разработчику для проверки сайта или оформления, но он забыл их удалить или закрыть перед запуском. Такие мелочи - частая ошибка среди новичков, особенно если сайт собирался "на коленке".

Несколько забавностей:

1. Мультик вместо видеоурока

Одна из фишек после оплаты - доступ к курсу на платформе GetCourse.

Я решил заглянуть туда, просто чтобы посмотреть, как всё устроено. И на одном из видеоуроков заметил любопытный комментарий в коде: платформа перенаправляла одного конкретного пользователя с видеоурока на YouTube, где показывались нарезки из Гриффинов.

Представьте: покупаешь курс, открываешь урок — а попадаешь на мультфильм. Сейчас этот кусок кода уже закомментирован, но вряд ли он появился случайно. Похоже, кто-то из клиентов серьёзно достал авторов, раз ему сделали такую “персональную версию” обучения.

2. Разные цены на один продукт

Я обнаружил более 10 вариантов продающей страницы одного курса, и цены на каждой из них отличались.
Сейчас курс продается за 1500 рублей, но были варианты и за 300 тысяч (мой шок в шоке)

3. Ранний доступ к платформе

Судя по всему, блогер разрабатывает внутреннюю платформу и даже мобильное приложение. Регистрации на платформе нет, только авторизация, но она оказалась кривой и залогиниться удалось достаточно быстро:

Судя по всему, разработка еще в самом зачатке, либо наоборот заброшена, так как в ней ничего интересного не оказалось.

4. Фальшивый вебинар

Попалась ссылка, на которой крупным шрифтом горело: вебинар вот-вот начнется! Интересно...

Подменив время на клиенте, я мгновенно попал в комнату, где уже началась трансляция. Только вот оказалось, что никого на трансляции кроме меня и нет, и это ничто другое как запись какого-то давно прошедшего стрима.

Есть предположение, что многие "лайвы" у блогеров - ни что иное как красивая заготовка, а боты в нужный момент просто заходят и оставляют нужные комментарии. Технически, это не сложно реализовать.

А что, удобно, зато всегда красивая картинка, никаких заминок, слов-паразитов и прочее. Можно стелить очень даже красиво.

Как не допустить таких ошибок

Если вы только начинаете собирать свои сайты, особенно на конструкторах вроде Tilda или аналогичных платформах, вот несколько простых, но важных советов:

— Удаляйте все тестовые страницы и черновики перед публикацией.

— Не размещайте прямые ссылки на закрытый контент — даже если они «спрятаны», их легко найти.

— Используйте доступ по токенам, временным сессиям или авторизацию.

— Проверяйте сайт через инструменты вроде ZAP, чтобы убедиться, что ничего лишнего не открылось.

— Не полагайтесь на «если человек не знает ссылку — не найдёт». Это не защита.

Вся информация предоставлена исключительно в образовательных целях.

Еще больше контента на канале Деплой в пятницу