Исследователь взломал веб-сервис Toyota с внутренними документами
Глобальная система управления информацией о подготовке поставщиков (GSPIMS) компании Toyota оказалась дырявой. Исследователь под псевдонимом EatonWorks взломал GSPIMS и сообщил о проблеме представителям автомобилестроительной корпорации. GSPIMS представляет собой веб-приложение, позволяющее сотрудникам и поставщикам удалённо получать доступ и управлять глобальной цепочкой поставок Toyota. Специалист с ником EatonWorks выявил в системе Toyota бэкдор, с помощью которого любой мог получить доступ к существующему аккаунту. Для этого достаточно было знать адрес электронной почты. В ходе тестовой попытки проникновения исследователь понял, что лазейка позволяет добраться до тысяч конфиденциальных документов, внутренних проектов, данных о поставщиках и т. п. Представители Toyota узнали о проблеме 3 ноября 2022 года, а в конце того же месяца японская корпорация устранила уязвимость. Теперь EatonWorks с чистой совестью смог опубликовать подробности выявленной проблемы. Интересно, что Toyota так и не выплатила эксперту вознаграждение. Приложение GSPIMS создано на базе JavaScript-фреймворка Angular, при этом софт использует специфические маршруты и функции, помогающие вычислять, к каким страницам имеют доступ определённые пользователи. EatonWorks обнаружил возможность модифицирования JavaScript-кода этих функций, чтобы они всегда возвращали значение «true».
Кроме того, специалист выяснил, что сервис генерирует JSON Web Token (JWT) для входа без пароля. Аутентификация требовала только адреса электронной почты одного из сотрудников Toyota. В результате бэкдор открывал любому доступ к данным 14 тысяч пользователей, а также внутренним корпоративным документам.
+7 (495) 749-28-49
www.configit.ru
https://www.anti-malware.ru/news/2023-02-08-111332/40492
#toyota #gspims #java #javascript #взлом #сервис #авто #новости #ит #конфигит #configit
Глобальная система управления информацией о подготовке поставщиков (GSPIMS) компании Toyota оказалась дырявой. Исследователь под псевдонимом EatonWorks взломал GSPIMS и сообщил о проблеме представителям автомобилестроительной корпорации. GSPIMS представляет собой веб-приложение, позволяющее сотрудникам и поставщикам удалённо получать доступ и управлять глобальной цепочкой поставок Toyota. Специалист с ником EatonWorks выявил в системе Toyota бэкдор, с помощью которого любой мог получить доступ к существующему аккаунту. Для этого достаточно было знать адрес электронной почты. В ходе тестовой попытки проникновения исследователь понял, что лазейка позволяет добраться до тысяч конфиденциальных документов, внутренних проектов, данных о поставщиках и т. п. Представители Toyota узнали о проблеме 3 ноября 2022 года, а в конце того же месяца японская корпорация устранила уязвимость. Теперь EatonWorks с чистой совестью смог опубликовать подробности выявленной проблемы. Интересно, что Toyota так и не выплатила эксперту вознаграждение. Приложение GSPIMS создано на базе JavaScript-фреймворка Angular, при этом софт использует специфические маршруты и функции, помогающие вычислять, к каким страницам имеют доступ определённые пользователи. EatonWorks обнаружил возможность модифицирования JavaScript-кода этих функций, чтобы они всегда возвращали значение «true».
Кроме того, специалист выяснил, что сервис генерирует JSON Web Token (JWT) для входа без пароля. Аутентификация требовала только адреса электронной почты одного из сотрудников Toyota. В результате бэкдор открывал любому доступ к данным 14 тысяч пользователей, а также внутренним корпоративным документам.
+7 (495) 749-28-49
www.configit.ru
https://www.anti-malware.ru/news/2023-02-08-111332/40492
#toyota #gspims #java #javascript #взлом #сервис #авто #новости #ит #конфигит #configit
Anti-Malware
Исследователь взломал веб-сервис Toyota с внутренними документами
Глобальная система управления информацией о подготовке поставщиков (GSPIMS) компании Toyota оказалась дырявой. Исследователь под псевдонимом EatonWorks взломал GSPIMS и сообщил о проблеме
Состоялся релиз Puter — браузерной среды рабочего стола
Разработчики выпустили браузерную среду рабочего стола Puter, которую можно использовать для создания собственных веб-проектов. Код открыт и доступен бесплатно.
Авторы проекта рассказали, что Puter представляет собой усовершенствованную и быструю среду рабочего стола, которая запускается в браузере. Разработчики отмечают, что среда расширяемая, что позволяет кастомизировать решение под собственные задачи.
Ещё одна особенность проекта заключается в том, что Puter полностью написан на чистом JavaScript и jQuery. Разработчики сознательно не использовали фреймворки, чтобы полностью контролировать весь стек и избежать появления сложных абстракций. jQuery выбрали из-за того, что Puter взаимодействует напрямую с DOM, а jQuery предоставляет «элегантное, но мощное API для этих задач».
Авторы приводят несколько примеров для использования Puter:
альтернативы Dropbox, Google Drive, OneDrive и других облачных хранилищ с новым интерфейсом и мощными функциями;
среды удалённых рабочих столов для серверов и рабочих станций;
платформа для создания и хостинга веб-сайтов, приложений и игр.
Разработчики развернули демоверсию Puter. В ней доступен файловый менеджер, терминал, блокнот, примитивный графический редактор, камера, диктофон и веб-версия VS Code. Окна можно перемещать по рабочему столу, изменить их размер, сворачивать и открывать на полный экран.
Код проекта открыт и опубликован на GitHub. Вместе с этим разработчики поделились подробной документацией и примерами приложений для Puter.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/798321/
#puter #javascript #java #программирование #рабочийстол #браузер #новости #ит #конфигит #configit #cit
Разработчики выпустили браузерную среду рабочего стола Puter, которую можно использовать для создания собственных веб-проектов. Код открыт и доступен бесплатно.
Авторы проекта рассказали, что Puter представляет собой усовершенствованную и быструю среду рабочего стола, которая запускается в браузере. Разработчики отмечают, что среда расширяемая, что позволяет кастомизировать решение под собственные задачи.
Ещё одна особенность проекта заключается в том, что Puter полностью написан на чистом JavaScript и jQuery. Разработчики сознательно не использовали фреймворки, чтобы полностью контролировать весь стек и избежать появления сложных абстракций. jQuery выбрали из-за того, что Puter взаимодействует напрямую с DOM, а jQuery предоставляет «элегантное, но мощное API для этих задач».
Авторы приводят несколько примеров для использования Puter:
альтернативы Dropbox, Google Drive, OneDrive и других облачных хранилищ с новым интерфейсом и мощными функциями;
среды удалённых рабочих столов для серверов и рабочих станций;
платформа для создания и хостинга веб-сайтов, приложений и игр.
Разработчики развернули демоверсию Puter. В ней доступен файловый менеджер, терминал, блокнот, примитивный графический редактор, камера, диктофон и веб-версия VS Code. Окна можно перемещать по рабочему столу, изменить их размер, сворачивать и открывать на полный экран.
Код проекта открыт и опубликован на GitHub. Вместе с этим разработчики поделились подробной документацией и примерами приложений для Puter.
7 (495) 749-28-49
www.configit.ru
https://habr.com/ru/news/798321/
#puter #javascript #java #программирование #рабочийстол #браузер #новости #ит #конфигит #configit #cit
Хабр
Состоялся релиз Puter — браузерной среды рабочего стола
Разработчики выпустили браузерную среду рабочего стола Puter, которую можно использовать для создания собственных веб-проектов. Код открыт и доступен бесплатно. Авторы проекта рассказали, что Puter...