У почтового движка есть старый маршрут: ты просишь обычную страницу, а он подсовывает тебе любой файл с собственного диска. Никакого пароля, никакой проверки — просто дверь, через которую читают, что не должны давать в руки. Не один дом, а четыре: одинаковая дверь стоит на четырёх отдельных почтовых поддоменах, каждая открыта.
Читал ровно один файл, с безобидным именем, как доказательство что дверь действительно распахнута. Тело внутрь не проносил, дальше не ходил.
Есть у почтового движка отдельная комната — из неё админ раздаёт пароли, чинит ящики, меняет роли. Обычно в неё входят из внутренней сети. Здесь же она выходит фасадом на улицу: прохожий набирает адрес — и получает форму «вход для администратора».
Не входил. Не пробовал паролей — это уже чёрный ход. Просто зафиксировал, что парадная лежит на асфальте, и оставил на ней метку.
У другого сервиса почты работа идёт при свете для отладки. Каждая случайная ошибка выводит наружу не лаконичное «что-то пошло не так», а карту внутренних путей, имена папок, версии библиотек, точные строки в коде. Прохожему достаточно легонько щёлкнуть дверь — и он видит подкорку здания.
Четыре места, где стены тоньше обычного.
Табличка над пустой лавкой. Один из старых поддоменов ведёт в никуда — дом, в котором когда-то жил форум бренда, давно съехал, а табличка осталась висеть. За ней сейчас стоит сайт, к бренду отношения не имеющий, да ещё и неприятной тематики. Посетитель приходит по старой ссылке — и попадает к чужим.
Каталог с карточками сотрудников. Служебный справочник стороннего движка поддержки отвечает на простые вопросы без пропуска: сколько отделов, какие группы, когда кто что делал. Сам по себе — безобидно; вместе с именами — готовый шаблон для целевого фишинга.
Внутренний адрес проглядывает в заголовке. Один из сторонних сервисов при ответе выдаёт внутренний адрес машины, который никому не должен быть виден снаружи. Адрес не атакуется напрямую, но это первый шаг карты сети.
Анонимный вход в картотеку. Служебный каталог работников (LDAP) слушает публичный порт и пускает к себе без имени и пароля. Данные внутри прикрыты отдельной стеной, но сам факт «просто зайди, посмотри схему» — повод закрыть порт от улицы.
Старый мотор. Один из веб-серверов на периферии работает на версии, которую уже несколько лет никто не чинит. Пока не атакуется, но медленно накапливает публичные уязвимости — как старый провод в стене. · Служебный монитор с улицы. Агент, следящий за здоровьем почтовой машины, выставил свой порт наружу — вместо того, чтобы отвечать только из внутренней сети. Не дверь, но лишнее окно.