Comments 20
Хорошее исследование.
Еще раз лишнее подтверждение того, что ничто не может быть в полной безопасности.
Еще раз лишнее подтверждение того, что ничто не может быть в полной безопасности.
UFO just landed and posted this here
Весьма увлекательно, буду ждать продолжения о тех уязвимостях которые пока не закрыты, спасибо=)
Если что ввиду имелось это:
Если что ввиду имелось это:
Остальные ещё не закрыты или в процессе финального рассмотрения.
$394 общая награда? Спасибо за описание, теперь буду знать с чьими баунтями не связываться. А вот уж SQLi в finance особенно подозрительно закрылся. Даже если кто то другой зарепортил, можно было бы принять такое.
Т.е. контора, которая схантила топа из из гугла, через год уволила его и заплатила неустойку в 100 миллионов долларов (пруф), заплатила за эту пачку уязвимостей меньше 400 долларов?
Кажется, организации, которые так относятся к пониманию, что для них ключевая компетенция, плохо заканчивают (см. печальную историю Nokia).
Кажется, организации, которые так относятся к пониманию, что для них ключевая компетенция, плохо заканчивают (см. печальную историю Nokia).
Один мой знакомый, наученый горьким опытом, делал так: Находится дыра, составляется research review, но не отправляется, а дыра «используется» пару раз для предоставления инфо в качестве доказательства, и вместе с честной оценкой сколько стоило ее искать (ака pro-forma invoice statement) со ссылкой на bounty программу делается скидка (10-20%) и подпись внизу «basis for negotiation» все это отправляется «изготовителю». Предварительно обговаривается со знакомым юристом, который советует приписать пару пунктиков, если перевезти с юридического что-то типа «ни в коем случае не рассматривать предложение как шантаж» и т.д.
Обязательно внизу приписать что в случае отказа, информация о дыре не предоставляется, но и НЕ планируется НИКАКОЕ ее использование, и все будет удалено в течении N дней.
Обязательно внизу приписать что в случае отказа, информация о дыре не предоставляется, но и НЕ планируется НИКАКОЕ ее использование, и все будет удалено в течении N дней.
о, надо больше инфы! я тоже так буду
Тут пришла идея, а что если research review запаковать с длиннющим ключем (что-нибудь типа эллиптических кривых) и приложить к pro-forma invoice? Ключ по факту…
Или даже, если возможно, в два куска — первый открыть после аванса (главное как можно меньше информации), второй после полной оплаты…
Или даже, если возможно, в два куска — первый открыть после аванса (главное как можно меньше информации), второй после полной оплаты…
надо больше инфы«Корова не моя» (тм). Переговорю с ним, если даст добро,… :)
Да, было бы интересно узнать подробности. Ладно деньги, частенько не то что спасибо не говорят, а даже не исправляют. Шлёшь им от чистого сердца во имя мировой справедливости, а они…
По сумме ответил тут.
Егор, SQLi в finance — это моя печаль. Действительно, странно. Тем более, что это был ajax-запрос — вещь гораздо менее очевидная, чем обычные урлы. И скриншот был, и следы проверок файловых привилегий на сервере остались, но апеллировать, на мой взгляд, было бесполезно. Бог им судья. Хотя я всё-равно остался вполне доволен. Тем более, что ещё не по всем уязвимостям вынесено финальное решение. Надеюсь на сумму порядка 15к.
И всё же сумма в 394$ от такой компании, за подобные уязвимости, это оскорбление. При правильной эксплуатации, подобные баги могли бы yahoo очень навредить и тогда компания, понесла бы значительно большие потери.
Друзья, толи я не корректно выразился, толи вы меня не правильно поняли:
394 доллара было заплачено конкретно за «Open redirect на m.yahoo.com». В целом было выплачено больше 10К долларов.
Именно за эту уязвимость Yahoo заплатил 394 доллара.
394 доллара было заплачено конкретно за «Open redirect на m.yahoo.com». В целом было выплачено больше 10К долларов.
Решето.
Sign up to leave a comment.
Триста девяносто четыре доллара