подбиралось в несколько потоков и часто просто везло что верный пароль был где то в начале диапазона. пароли устанавливаются числовые 6-тизначные. и никто их не меняет. там функционал для смены даже запрятан очень глубоко в интерфейсе.
В голове держал на самом деле на этот пункт ситуацию, когда лучше пользователю присылать ссылку по которой он может пройти и установить пароль. У ссылки срок жизни короткий, ну и повторный заход по ссылке не даст снова пароль установить…
Такую реализацию принято считать более безопасной. Но вообще вы правы — если мыло увели то тут уже никто не поможет…
>Стоимость бага определяет владелец. В данном случае программы бб вообще не было.
Пришел человек, нашел баги (молодец), и под угрозой дисклоза требует скорейшего фикса. При том, даже не являясь клиентом. Как бы весьма сомнительное поведение.
Попробую до вас донести свою «философию» еще раз. Я никогда не был материально-заинтересованным человеком работая на ту или иную компанию. Обычно мои материальные потребности закрывала внерабочая деятельность. После переезда все немного поменялось конечно, «философия» осталась, но это уже личное. Угрозу дисклоза для компании я не создавал и всегда оставался открытым для общения. Для компании я озвучивал возможность опубликовать историю только лишь по одной причине — после продолжительного молчания с их стороны было четкое ощущение что проблема уходит в бэклог. И мне было грустно наблюдать пассивную реакцию на происходящее. Я никогда не понимал и не понимаю когда кто-то находит проблему и публикует ее до фикса. Я всегда держу в голове ст.272 и возможные последствия. И я не сторонник называть названия компаний. Т.к понимаю что мои скилы не достаточные для того что бы увидеть все угрозы и риски. И есть вероятность что после публикации названия, придет более скиловый товарищ и сделает что-то непоправимое в отношении компании и ее клиентов. Публикацию я написал лишь в образовательных целях. Дабы мои коллеги не забывали включать базовые проверки безопасности того что тестируют. Ведь тестировщики — это первые люди которые видят продукт до выкладки на прод. И в их руках ответственность за то что случится после выкладки. Ну, а компании, как я считаю, должны периодически заказывать квалифицированный пентест продукта. У меня все.
>В таком случае 100E — это, правда, более, чем неплохая выплата. Да еще и расписали, как посчитали сумму! Право, вы придираетесь.
Мое возмущение вызвала не сумма а расчет. Никогда не встречал, на том же h1, когда к примеру одну xss считали как баг. А все остальные xss этого же продукта помечали дублями. Это даже с точки зрения QA коим я являюсь — неправильно.
>В чем интересность политики, дайте ссылку или текст? Откуда вывод про большинство клиентов — как считали? Компания реально не даёт обновления безопасности коммерческим клиентам?
Ссылку или текст не приведу. Но к сожалению все что я написал — не вымысел. Подтверждение я получил и от исполнительного директора данной компании. И от руководителя отдела тестирования. Да и задавал я вопрос по обновлению всех клиентов не на ровном месте. У меня за плечами опыт работы в течении нескольких лет на компанию разработчика подобного продукта. Там политики поддержки клиентов были абсолютно такие же. И от части я даже понимаю почему. Когда продукт прошел несколько ступеней развития, то внести любые существенные изменения во все версии крайне сложно. Не потому что их много. А потому что продукт-конструктор со своей прикладной бизнес логикой. Покрыть тестами все сочетания версий и конфигураций невероятно сложно. А прикладная разработка для каждой компании в процессе внедрения становится уникальной. Взять риск на то что ничего не ушатается при обновлении — точно никто не захочет.
>Это совершенно не 0day.
Не спорю. Согласен.
>Таймлайн, кстати, тоже вполне даже приличный.
Таймлайн стал таким, когда я озвучил что хотел бы опубликовать рассказ о подобных проблемах. Дабы люди не забывали что многие баги живут и по сей день. И как их тестировать. Практически сразу исполнительный директор подключился. И сроки исправления были обозначены реальные.
не нужно поспешных решений принимать. используйте просто отдельную карту для «интернетов» и вероятно все будет хорошо. youtu.be/KopWe2ZpVQI
Посмотрев это вы же не перестанете пользоваться банками?
В этом плане все там окей. MITM в чистом виде реализовать не получится. Но мне никто руки не держал, и я на свой телефон смог поставить сертификат и проснифить трафик через свой проксик. Ну а дальше нужный запрос на отправку пароля был просто реализован через брутфорс.
Я абсолютно все не смотрел. Так что за все не ручаюсь. Серьезного для пользователей там ничего не было. А вот для самого каршеринга опасность есть. Но они решили что поживут видимо с этим.
Всю эту ситуацию надо воспринимать как напоминание о том что никто не в безопасности. Завтра найдут зеродэй и даже те кто были в безопасности перестанут там находится. Я склонен пользоваться подобными вещами с осторожностью. И не привязывать карты на которых внушительные суммы могут быть. Для интернета у меня всегда отдельная карта.
У меня примерно так и получилось с моим последним сотрудничеством на одну крупную фирму. После репорта о критической уязвимости, они очень охотно присылают теперь предложения протестировать то или иное приложение.
«Штирлиц как никогда был близок к провалу» ;)
На самом деле я бегло пробежался по нескольким из них. А то мало ли беду навлеку. Одни товарищи даже были уведомлены о неосторожной работе с данными. Но последствий после моего сообщения не последовало, к сожалению… :(
Такую реализацию принято считать более безопасной. Но вообще вы правы — если мыло увели то тут уже никто не поможет…
Пришел человек, нашел баги (молодец), и под угрозой дисклоза требует скорейшего фикса. При том, даже не являясь клиентом. Как бы весьма сомнительное поведение.
Попробую до вас донести свою «философию» еще раз. Я никогда не был материально-заинтересованным человеком работая на ту или иную компанию. Обычно мои материальные потребности закрывала внерабочая деятельность. После переезда все немного поменялось конечно, «философия» осталась, но это уже личное. Угрозу дисклоза для компании я не создавал и всегда оставался открытым для общения. Для компании я озвучивал возможность опубликовать историю только лишь по одной причине — после продолжительного молчания с их стороны было четкое ощущение что проблема уходит в бэклог. И мне было грустно наблюдать пассивную реакцию на происходящее. Я никогда не понимал и не понимаю когда кто-то находит проблему и публикует ее до фикса. Я всегда держу в голове ст.272 и возможные последствия. И я не сторонник называть названия компаний. Т.к понимаю что мои скилы не достаточные для того что бы увидеть все угрозы и риски. И есть вероятность что после публикации названия, придет более скиловый товарищ и сделает что-то непоправимое в отношении компании и ее клиентов. Публикацию я написал лишь в образовательных целях. Дабы мои коллеги не забывали включать базовые проверки безопасности того что тестируют. Ведь тестировщики — это первые люди которые видят продукт до выкладки на прод. И в их руках ответственность за то что случится после выкладки. Ну, а компании, как я считаю, должны периодически заказывать квалифицированный пентест продукта. У меня все.
Мое возмущение вызвала не сумма а расчет. Никогда не встречал, на том же h1, когда к примеру одну xss считали как баг. А все остальные xss этого же продукта помечали дублями. Это даже с точки зрения QA коим я являюсь — неправильно.
>В чем интересность политики, дайте ссылку или текст? Откуда вывод про большинство клиентов — как считали? Компания реально не даёт обновления безопасности коммерческим клиентам?
Ссылку или текст не приведу. Но к сожалению все что я написал — не вымысел. Подтверждение я получил и от исполнительного директора данной компании. И от руководителя отдела тестирования. Да и задавал я вопрос по обновлению всех клиентов не на ровном месте. У меня за плечами опыт работы в течении нескольких лет на компанию разработчика подобного продукта. Там политики поддержки клиентов были абсолютно такие же. И от части я даже понимаю почему. Когда продукт прошел несколько ступеней развития, то внести любые существенные изменения во все версии крайне сложно. Не потому что их много. А потому что продукт-конструктор со своей прикладной бизнес логикой. Покрыть тестами все сочетания версий и конфигураций невероятно сложно. А прикладная разработка для каждой компании в процессе внедрения становится уникальной. Взять риск на то что ничего не ушатается при обновлении — точно никто не захочет.
>Это совершенно не 0day.
Не спорю. Согласен.
>Таймлайн, кстати, тоже вполне даже приличный.
Таймлайн стал таким, когда я озвучил что хотел бы опубликовать рассказ о подобных проблемах. Дабы люди не забывали что многие баги живут и по сей день. И как их тестировать. Практически сразу исполнительный директор подключился. И сроки исправления были обозначены реальные.
youtu.be/KopWe2ZpVQI
Посмотрев это вы же не перестанете пользоваться банками?
Всю эту ситуацию надо воспринимать как напоминание о том что никто не в безопасности. Завтра найдут зеродэй и даже те кто были в безопасности перестанут там находится. Я склонен пользоваться подобными вещами с осторожностью. И не привязывать карты на которых внушительные суммы могут быть. Для интернета у меня всегда отдельная карта.
На самом деле я бегло пробежался по нескольким из них. А то мало ли беду навлеку. Одни товарищи даже были уведомлены о неосторожной работе с данными. Но последствий после моего сообщения не последовало, к сожалению… :(