Разрабатываю сайт для одного агентства недвижимости местного значения.
Жена моя работает в этом же агентстве менеджером по рекламе — принимает
звонки от клиентов и хозяев, распределяет нагрузку между риелторами. На
сайте, как и у каждого агентства, представлена база данных квартир.
Написал я её на PHP; есть там, конечно же, вход с логином и паролем для
зарегистрированных пользователей: риелторы, менеджеры, директор
агентства и все остальные, то есть гости. Гостям телефоны хозяев не
показывают, только телефон самого агентства. Дескать, звоните, мы вам
всё подскажем и денег с вас сдерём.
Стукнуло мне в голову (не
просто так, имели место неприятные инциденты) написать систему логов.
Если юзер логинился, да ещё и кривой пароль вводил, то в логи тщательно
записывалось: входил такой-то с такого-то IP, вводил такие-то логин с
паролем. Зарелизились, директор рад: видит, кто работает, а кто груши
околачивает — красота!
В первый же день стучится некто к нам на
сайт с неизвестного IP, явно пытается брутфорсить: вводит сочетания
«login/password», «password/123» и прочие. Среди прочих вводит пару
«vladimir/682619». Мы с директором на это взглянули и задумались, что
за Владимир такой и почему пароль именно такой выбрал.
— О, а ведь у конкурентов есть риелтор Владимир! — осеняет шефа.
Захожу
на сайт конкурентов, нахожу форму входа, ввожу данные неизвестного мне
Владимира. Мне показывают все квартиры, все номера, всех хозяев — в
общем, полный аншлаг со всеми вытекающими, хоть всю базу сноси к чертям.
Если
хочешь показаться умнее остальных и мнишь себя начинающим хакером, в
процессе брутфорса не сливай конкурентам свой аккаунт. Вполне возможно,
что «для повышения качества обслуживания все разговоры с БД
записываются». |