Comments 45
UFO just landed and posted this here
В голове невольно сформировался TOP 2 ответов на репорты о багах:
1. Нам уже сообщили про эту уязвимость.
2. Это не баг, это фича такая.
Даже за 150$ баксов придется побороться :)
1. Нам уже сообщили про эту уязвимость.
2. Это не баг, это фича такая.
Даже за 150$ баксов придется побороться :)
Можем предоставить пруфы прямо там в тасках :) За вчерашний день было около 600 репортов со всего мира, и дубликатов и правда очень много.
Мне уже подтвердлили, что найденная мной вещь в андроид приложении — это уязвимость. Правда оговорились, что ещё не ясно попала ли она под эту программу поиска уязвимостей
Отлично! Только можно вас попросить, после того, как уязвимости будут найдены и пофиксены, сделать большой пост о том, что и как вы пофиксили?
Я думаю это будет интересно всем Хабражителям, вдруг у нас тоже есть похожие дыры, а мы о них не знаем? :)
Я думаю это будет интересно всем Хабражителям, вдруг у нас тоже есть похожие дыры, а мы о них не знаем? :)
Да, безусловно, по итогам месяца мы обязательно расскажем об этом, с примерами и историями :)
Более того, по нашим правилам и правилам HackerOne, после того как баг был закрыт, по истечении 2-3 месяцев его можно «открыть в мир», и кто угодно может рассказать о нём, затвитить, зашарить и т.п.
Более того, по нашим правилам и правилам HackerOne, после того как баг был закрыт, по истечении 2-3 месяцев его можно «открыть в мир», и кто угодно может рассказать о нём, затвитить, зашарить и т.п.
Более того, по нашим правилам и правилам HackerOne, после того как баг был закрыт, по истечении 2-3 месяцев его можно «открыть в мир», и кто угодно может рассказать о нём
В посте немного иначе сказано:
С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали.
Уточните, пожалуйста, этот момент. Если сообщение было отправлено, но уязвимость так и не была закрыта, можно ли обнародовать её детали?
Если мы не закрыли уязвимость в течении трёх месяцев — да, это ваше право. Но в этом случае награды не будет :( Мы всегда просим учитывать тот факт, что не все уязвимости в рамках большой компании можно закрыть за этот срок. Например, если уязвимость касается взаимодействия десятков подразделений, то срок исправления может доходить и до полугода.
В случае если мы закрыли уязвимость и видим что в её раскрытии нет ничего плохого, то три месяца ждать не имеет смысла. И дальше вы впринципе в любое время можете надавить кнопку «Раскрыть уязвимость» и она опубликуется на hackerone автоматически.
В случае если мы закрыли уязвимость и видим что в её раскрытии нет ничего плохого, то три месяца ждать не имеет смысла. И дальше вы впринципе в любое время можете надавить кнопку «Раскрыть уязвимость» и она опубликуется на hackerone автоматически.
С почином!
Спасибо. Индусов и китайцев — тьма! Мы сейчас их количество на себе ощущаем) Это что-то нереальное.
У вас сколько полезных репортов в день от них?
У вас сколько полезных репортов в день от них?
Сначала будет очень тяжело — в первое время были десятки «мусорных» репортов в день. Сейчас довольно мало репортов вообще.
Особенно круто будет когда угрожать начнут раскрыть уязвимость и тогда нас задефейсят (через кликджекинг на статике). У нас даж с матом было) И даже Элопу писали) Много лулзов словите.
У вас, да и не только у вас, существует одна очень серьезная уязвимость в секретных вопросах для восстановления пароля, не знаю, как сейчас, но раньше в списках стандартных вопросах были: «Девичья фамилия матери», «Почтовый индекс родителей» и т.д. Очевидно, что для злоумышленника в большинстве случаев не составляет никакого труда узнать эти данные, просто заглянув например в «Одноклассники». Круче только рамблер с его вопросами: «Ваше любимое число» и «Любимый цвет» — что угадывается на раз-два. Предлагаю отфильтровать пользователей с такими стандартными вопросами и предложить им поменять их.
Вознаграждение не выплачивается за информацию, полученную с помощью:
социальной инженерии
Прискорбно видеть, что социальная инженерия перестала рассматриваться как потенциальная брешь в безопасности компании, а ведь именно с помощью неё идет очень большое количество заражений вирусами, с помощью неё взламываются системы, где с технической точки зрения все защищено. И зачастую с помощью социальной инженерии проще получить нужные данные, чем искать уязвимости в конечном продукте.
>Потолка нет — размер награды будет зависеть только от критичности обнаруженной проблемы.
>1 место — 5 тыс. долларов
Итого к примеру возможно получить 10000 + бонус 5000?
>1 место — 5 тыс. долларов
Итого к примеру возможно получить 10000 + бонус 5000?
Ну хорошо, я отписал жду ответа. А кто будет тестировать и исправлять уязвимости? №8499 Обратите наконец внимание!
Неожиданно даже
Зря вы релизнулись на той платформе, от индусов у вас будет минимум полезных репортов, а потом еще куча ответов на них из разряда «Пачэму ета ни баааг??».
Мы верим в то, что братские народы — это временное явление)
А H1 нам понравился за то, что ребята берут на себя все обязательства перед security researcher-ами касаемые сроков и методов оплаты, принимают баги в удобной для нас и репортеров форме + исповедуют правильную, на наш взгляд, философию.
Я просто сам принимал участие в такого рода программах, и поэтому не хочу заставлять репортеров мучиться с почтовой перепиской, отсылать сканы паспортов, СНИЛС-ы и ждать оплаты по полгода :)
А H1 нам понравился за то, что ребята берут на себя все обязательства перед security researcher-ами касаемые сроков и методов оплаты, принимают баги в удобной для нас и репортеров форме + исповедуют правильную, на наш взгляд, философию.
Я просто сам принимал участие в такого рода программах, и поэтому не хочу заставлять репортеров мучиться с почтовой перепиской, отсылать сканы паспортов, СНИЛС-ы и ждать оплаты по полгода :)
Mail.ru — это и есть одна большая уязвимость.
На русском писать можно?
Вопрос к пользователям хабрахабра, вот мне не верят, если в самом способе аутентификации пользователя есть баг и я могу залоснится любым пользователем и увести куки с любого сайта где есть авторизация через auth.mail.ru это баг со стороны сайта или со стороны mail.ru? Мне говорят, это фича ищите баг на нашем сервисе.
Ты же понимаешь что тебе не ответят на такой абстрактный вопрос?)
Надеюсь прецеденты есть о которых я не знаю? Да и взлом он всегда абстрактный и основан на догадках, для того он и взлом.
Ну, наверно, если сам модуль авторизации, в каком бы виде он не встраивался в сайт уязвим к тому, что позволяет авторизоваться на том конкретном сайте без знания пользовательских данных (как ты выразился — залогиниться под любым пользователем), то скорее всего бага присутствует, если конечно она не вызвана кривым использованием самого модуля авторизации. С другой стороны, формально, если это бага не на их поддомене-домене, то они могут и не принять. Опять же, я все это говорю, не зная что за бага и с чем ее едят, и есть ли она вообще.
Давайте обсудим прямо тут :) Хотя лучше бы в тикете
Судя по вашему репорту, а начинается он так: «Берем любой сервис где существует авторизация через соц. кнопку ищем xss в любой форме»,
Ваш вектор выглядит так:
1) Находим XSS на сервисе, где установлена кнопка авторизации при помощи Mail.Ru
2) Авторизуем пользователя на этом сайте при помощи кнопки авторизации и найденной XSS
3) Крадём куки уязвимого сервиса.
Вопрос, как это аффектит нас или наших пользователей?) Если я не прав, и у вас есть PoC — то велкам в тикет на HackerOne :)
Судя по вашему репорту, а начинается он так: «Берем любой сервис где существует авторизация через соц. кнопку ищем xss в любой форме»,
Ваш вектор выглядит так:
1) Находим XSS на сервисе, где установлена кнопка авторизации при помощи Mail.Ru
2) Авторизуем пользователя на этом сайте при помощи кнопки авторизации и найденной XSS
3) Крадём куки уязвимого сервиса.
Вопрос, как это аффектит нас или наших пользователей?) Если я не прав, и у вас есть PoC — то велкам в тикет на HackerOne :)
О собственной безопасности вы начали заботиться, молодцы, а о безопасности пользователей когда начнёте заботиться? Когда прекратите на каждом шагу втюхивать свой троян «Спутник Mail.ru»? Хотя о чём это я?.. лемминги хавают.
Sign up to leave a comment.
Mail.Ru Group объявляет о старте программы поиска уязвимостей