💀 Похититель данных Б24 | Все вебхуки в один клик (+шаблон n8n)
С каждым днем мир ИТ-решений становится всё более автоматизированным, а ИИ-инструменты, такие как ChatGPT и Claude, завоевывают популярность. Теперь, чтобы настроить сложные процессы, достаточно просто скопировать и вставить готовый код. Однако проблема возникает, когда люди не понимают, что именно они деплоят. На первый взгляд, сайт может выглядеть безопасным, но на деле его код может быть заполнен уязвимостями.
Кажется, что если все работает, то и безопасность на месте. Но на самом деле, вебхуки и важные данные могут быть на виду, и их может парсить любой.
Вот реальные угрозы:
- Вебхуки видны в исходном коде — это открывает двери для злоумышленников.
- Form IDs доступны каждому — и любые формы могут быть подвержены манипуляциям.
- Данные собираются без ограничения — CRM-система становится открытым хранилищем для всех.
Код, написанный с использованием ИИ, может работать правильно, но не обеспечивать должный уровень безопасности. Это подчеркивает необходимость в регулярных аудидах безопасности, которые должны стать не опцией, а обязательной практикой для всех.
Как защититься? Все вебхуки в один клик!
Теперь можно проверить свои сайты на безопасность за несколько минут. Просто отправьте URL и получите полный отчет о том, какие данные доступны извне, какие вебхуки активны и где происходят интеграции.
Вот что вы можете узнать:
- Все активные Bitrix24 вебхуки на сайте
- Скрытые CRM интеграции и их ID
- API endpoints для подключённых сервисов
- Формы и точки сбора данных клиентов
А теперь разберемся поэтапно, как это работает на примере шаблона процесса.
Этап 1: Запуск через Telegram
Когда пользователь отправляет сообщение в Telegram, триггер срабатывает и запускает процесс. Мы проверяем, есть ли в сообщении ссылка, и если она есть, извлекаем URL. Если это не ссылка, бот уведомит пользователя о неправильном формате.
Этап 2: Проверка URL
После того как URL извлечен, происходит его обработка. Если ссылка не валидна, бот снова отправляет сообщение с просьбой предоставить корректную ссылку. Если URL правильный, запускается процесс извлечения данных с сайта, включая активные вебхуки и интеграции.
Этап 3: Извлечение данных
С помощью внешнего API, например, Firecrawl, запускается процесс анализа веб-страницы. Все данные, связанные с вебхуками, API endpoints, скрытыми интеграциями, собираются и структурируются. На основе полученных данных создается отчет, который будет отправлен пользователю.
Этап 4: Ожидание и обработка данных
После отправки запроса на извлечение данных, система ожидает завершения анализа (примерно 10 минут для первых результатов и до 20 минут для полной обработки). Этот этап включает несколько шагов: запрос данных с сервера, проверка состояния и возможное извлечение дополнительной информации, если результаты не готовы.
Этап 5: Ответ пользователю
По завершению анализа и извлечения данных, бот отправляет пользователю отчет в Telegram. В отчете указаны все активные вебхуки, скрытые API и другие уязвимости, обнаруженные на сайте.
Отправьте URL сайта – получите полный доступ к его вебхукам и точкам интеграции. Понять, насколько защищены ваши данные, легко и быстро.
Загружайте шаблон, проверяйте безопасность своих интеграций и защищайте бизнес от угроз в цифровом мире!