Як звичайний слеш в AWS приніс хакеру $12 000

Незалежний дослідник безпеки порпався в мобільному API однієї фінтех-компанії, коли натрапив на справжній абсурд. Звичайний запит на перегляд акаунтів очікувано отримував сувору помилку 401 Unauthorized. Але варто було йому додати звичайний слейш у кінець URL-адреси, як сервер слухняно віддав повну базу даних користувачів із радісним статусом 200 OK.

Винуватцем цього цифрового дива виявився вибір компанії на користь AWS HTTP API — новішої та дешевшої альтернативи класичному REST API. Система використовувала Lambda-авторизатор для перевірки токенів користувачів. Проте занадто гнучкі правила зіставлення шляхів у хмарі просто збожеволіли від зайвого символу. Система запустила авторизатор, отримала дозвіл, а потім передала запит далі.

Під час цієї передачі шлюз вирішив «навести лад» у URL-адресі й автоматично стер фінальний слеш. Разом із ним він примудрився повністю стерти контекст авторизації користувача. Бекенд отримав запит, де ID користувача був абсолютно порожнім. Замість того, щоб забити на сполох, система вирішила, що це якийсь важливий системний запит, і слухняно вивантажила дані всіх акаунтів.

Щоб зробити ситуацію ще епічнішою, аналогічний трюк із косою рискою спрацював і на переказах грошей. Надіславши запит на кінцеву точку переказів із тим самим слешем у кінці, дослідник зміг ініціювати реальну транзакцію без жодного токена. Оскільки ID користувача знову загубився, система за дефолтом використала майстер-акаунт самої компанії для фінансування переказу, успішно надіславши тестовий цент.

Ніщо так не підкреслює велич сучасних фінансових технологій, як система, що дозволяє стороннім людям спустошувати корпоративні рахунки через одну косу риску. Надзвичайно приємно усвідомлювати, що мільйони доларів венчурних інвестицій та грошей користувачів захищені цифровим аналогом таблички «зачинено», яку можна обійти, просто обійшовши двері збоку.

Джерело: vechron