У вільному доступі, як і раніше знаходиться приватна, фінансова та інша закрита інформація користувачів Fl.ru

Незважаючи на публікацію «Критична уразливість в безпеці на fl.ru», цей сервіс продовжує роздавати всім бажаючим інформацію, яку слід було б закрити від публічного доступу.

Ви можете легко отримати доступ до паспортних даних, адреси реєстрації, поштову адресу, E-mail, телефону та іншої інформації про користувачів Fl.ru, в тому числі фінансової! Причому не тільки про фрилансерах, але і про замовників. Для цього не потрібно застосовувати якісь хакерські прийоми і зламувати сайт Fl.ru, достатньо просто пройти по посиланнях, проіндексованим Яндексом із зазначенням відповідного реферера в заголовку запиту.

Перший варіант — скористатися утилітою wget як рекомендує ValdikSS коментарі:
wget --referer 'https://st.fl.ru' st.fl.ru/about/documents/имя_документа.pdf
Другий варіант — встановити додаток в браузер для вказівки конкретного реферера для конкретного сайту. Наприклад, для firefox можна використовувати це додаток: addons.mozilla.org/ru/firefox/addon/refcontrol. Після установки треба пройти в налаштування RefControl і додати сайт st.fl.ru, далі вибрати «Інше» і ввести в це поле st.fl.ruПосле натиснення «Ок» вікно налаштувань має виглядати так:



Все, тепер ви можете пройти по посиланнях Додаток до ОФЕРТИ НА УКЛАДЕННЯ ДОГОВОРУ
або технічним завданням, а також з будь-яких інших варіантів пошуку Яндекса або Гугла по домену Fl.ru і отримати доступ до інформації, яка повинна бути закритою від публічного доступу!

Я думаю, що вказівка конкретного реферера в http-запиті не є протиправним діянням. Впевнений, що Fl.ru слід зробити більш серйозні дії, ніж перевірка реферера — для того, щоб закрити від публічного доступу таку критично важливу інформацію. Наприклад, показувати ці документи тільки авторизованим користувачам.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.