Дневник хакера: реальный кейс аудита безопасности веб-сайта

Недавно поступил заказ — проверить безопасность интернет-магазина.
Бизнес нарастает, клиенты приходят, а у админа внутри тревога: «а вдруг нас взломают?»
Начал с классики — аудит фронта и бэка, но самое забавное спряталось за фасадом.

⚡ Точка входа
• Обычная форма для ввода email, регистрация и личный кабинет.
• Видим — параметры идут через GET и POST, валидируются только на фронте.

🔍 Что бросилось в глаза
• В JS-файле спалился debug-метод, который сливает все cookies в консоль (автор явно забыл).
• На сайте нет нормального rate-limit — brute-force на пароли летит без труда.
🚀 Вектор атаки
• С помощью Burp Suite и ffuf пробил поля авторизации — получил пару неожиданных ошибок в JSON-ответе.
• Проверил возможность SSRF через параметр avatar_url, оказалось — сервис спокойно фетчит картинки по любому адресу, включая внутренние серверы.
• Классика: XSS во фронте на странице профиля — поле «описание» не фильтровалось, можно вставить <script>alert('Хай бизнес!')</script>.

🗡️ Команды и трюки

curl -X POST “site.com/api/profile” -d ‘avatar_url=http://127.0.0.1:8000/’ –cookie “session=…”

Через Burp Suite нашёл уязвимость XSS — поставил PoC, отправил отчёт с демкой.

💡 Лайфхаки для бизнеса
• Поставьте rate-limit на все критичные формы.
• Всегда фильтруйте инпут и выводите только безопасный HTML.
• SSRF — дырка, через которую можно увидеть всю инфраструктуру, её надо закрывать через allowlist.

Итог:
Показал клиенту баги — через сутки у него не только прирост security, но и уважение, а я кладу в копилку ещё один крутой кейс!