[Data exfil] challenge CASMB

[ChallengerBuran]

Verificare asigurat

Challenge-ul consta in gasirea unei vulnerabilitati (de orice natura) astfel incat sa poata fi citite datele asiguratilor din sistem.

Recompensa va fi platita in Bitcoin, minimum 1 BTC, max 15 BTC.

Bonus de pana la 0.5 BTC pentru oricine face un raport detaliat despre securitatea platformei si sugestii pentru securizarea acesteia.

Succes!

Buran

[Gio33]

De unde stim noi ca tu nu esti creatorul sau administratorul magariei de site scrisa cu picioarele si vrei sa verifici daca ai vuln pe site, ai 1 post si user inregistrat azi probabil.

Bonus de pana la 0.5 BTC pentru oricine face un raport detaliat despre securitatea platformei si sugestii pentru securizarea acesteia.

Asta confirma destul de mult ceea ce am zis mai sus, deci, daca vreti un audit de securitate la site, ziceti frate direct asa.

Sa scoti daca asiguratii sunt sau nu asigurati medical nu e greu, faci un script cu un captcha-sniper si il rulezi pe toate cnp-urile, apoi concatenezi rezultatele cu o baza de date de cnp -> date personale ...

[ChallengerBuran]

De unde stim noi ca tu nu esti creatorul sau administratorul magariei de site scrisa cu picioarele si vrei sa verifici daca ai vuln pe site, ai 1 post si user inregistrat azi probabil.

Asta confirma destul de mult ceea ce am zis mai sus, deci, daca vreti un audit de securitate la site, ziceti frate direct asa.

Sa scoti daca asiguratii sunt sau nu asigurati medical nu e greu, faci un script cu un captcha-sniper si il rulezi pe toate cnp-urile, apoi concatenezi rezultatele cu o baza de date de cnp -> date personale ...

Nu e greu ce zici tu, dar nu asta e challenge-ul. Ci efectiv sa intri in baza de date si sa citesti de acolo CNP-uri si nume, prenume (toate sunt stocate acolo dar platforma returneaza doar calitatea de asigurat).

PS. De ce este site-ul scris cu picioarele?

[Gio33]

Ok, deci tu defapt vrei un security audit, macar zi asa de la inceput.

Scris cu picioarele pentru ca:

Ai 1000 de <script> uri deschise, se vede ca unele sunt copiate / inspirate din altceva fiindca odata deschizi ghilimele simple, odata duble etc 

<script type='text/javascript'>...
<script type="text/javascript">...


De cand tagurile <td> se inchid in acelasi tag asa cum e aici, da, poate ca unele browsere nu fac gura fiindca s-au obisnuit stupid-proof, dar e retardat... :

<td class="label" />

Au fost doar 2 exemple simple.

Dupa o cautare, se pare ca aplicatia a fost facuta dupa un "demo" ASP.NET din vs 2010, cu date de conectare la db modificate si inca 2-3 texte probabil, deci, miroase a incepatori.

Sa mai intreb cati bani s-au platit pe saracia asta?

[BitMap]

Sa mai intreb cati bani s-au platit pe saracia asta?

Afaceri cu statul ...

Românii pot verifica dac? sunt asigura?i la S?n?tate pe site-ul CNAS | Economica.net | Romania TV

// aici pare a fi debugging

Cat a costat sistemul informatic al CAS blocat miercuri?

// cred ca sunt si articole mai bune, astea le-am gasit asa repede

[Gio33]

Date neoficiale arata ca pentru imbunatatirea Sistemului Informatic Unic Integrat al Casei Asigurarilor de Sanatate a fost prevazuta cheltuirea a 44 de milioane de euro, din care pana acum s-au cheltuit 36 de milioane, restul fiind pastrati pentru mentenanta, potrivit ziarului Gandul.

Nice... hai sa luam un demo website din VS2010 de ASP.NET , ii schimbam DB-ul , cateva selecturi drop-down, niste texte un SELECT , o treaba... hai cu milioanele de euro.

Sa facem un calcul la cel mai grosolan mod:

10 000 E - servere

2 000 E - proiectarea DB

1 000 E - realizarea site-ului inspirat din demo-ul acela

5 000 E - inserarea datelor in sistem

Total 18 000 E, hai sa zicem 20 000 (desi sa fim realisti, e exagerat tot ce am zis) , totusi.. 36 mil euro? =))

Si vine omu asta si zice ca ne da 15 bitcoin si 0,5 daca ii si explicam cum sa repare vulnerabilitatile...

Iesi acas'