@4lemon17 янв 2017 в 10:28

Трагикартинки Фэйсбука

4 мин

32K

Информационная безопасность * Веб-разработка *

+96

Комментарии 15

@ilyaplot 17 янв 2017 в 11:09

Получается, можно было слить исходники и исполняемые файлы через dns запросы? Чем еще опасна уязвимость? Насколько я понял, прав особо ни на что не хватило бы?

@mayorovp 17 янв 2017 в 12:11

uid=99(nobody)
groups=99(nobody)
gid=99(nobody)

Нельзя слить так просто слить исходники. По крайней мере, пока не будет найдено эксплойта для повышения привелегий и способа вызвать его однострочником на bash. И даже после этого не факт что исходники окажутся на том же сервере. И даже если они там найдутся — через DNS-тоннель они будут передаваться долго...

@4lemon 17 янв 2017 в 12:51

Ну всё что доступно на чтение от nobody — можно было забрать. Реверсшел с его правами (если бы удалось найти открытый порт). Но по понятным причинам (Facebook policy), я этого не проверял.

@mityal 17 янв 2017 в 15:52

Facebook умеет радовать размером вознаграждений :)

@4lemon 17 янв 2017 в 15:53

Более чем:)

@Merkat0r 18 янв 2017 в 05:03

Вау :) мы почти, судя по таймлайну, одновременно отправили репорты, правда у меня немного другой вектор был. Также дали вознаграждение, я, честно говоря, когда сначала увидел сумму — думал они парой лишних нулей ошиблись…

@4lemon 18 янв 2017 в 17:50

В том же урле репорт был?

@Termux 18 янв 2017 в 09:12

PoC — это 'proof of concept'?

@fryday 18 янв 2017 в 09:29

да, популярная аббревиатура

@Itachi261092 24 янв 2017 в 08:43

Почему то в чужих постах всё выглядит настолько просто и понятно, что постоянно хочется тоже найти какой нибудь баг на фейсбуках-вконтактах и получить свои $40к
Но у меня никогда не получалось найти ни одной зацепки. Хотя я, наверное, не очень то и пытался =( комрады, подскажите, куда копать? Как искать такие зацепки, которые могут привести к такой уязвимости?

@bubuq 24 янв 2017 в 09:16

Перевод: комрады, дайте мне $40K, жалко вам, что ли

@Itachi261092 24 янв 2017 в 09:34

я написал «как искать зацепки» а не «покажите мне готовые зацепки». Так что скорее уж «Научите меня зарабатывать $40к» но не так как Вы выразились.

@4lemon 26 янв 2017 в 09:51

Можно начать вот с этого: https://hackerone.com/hactivity
Чтение отчётов вызовет много вопросов, поиск ответов на которые может дать знания. Для начала и этого хватит.

@zhigalin 24 янв 2017 в 10:14

https://news.yandex.ru/yandsearch?cl4url=www.ntv.ru/novosti/1748177/&lang=ru&from=rub_portal&lr=112809&msid=1484903978.84258.22881.30323&mlid=1484903611.th_computers.29f0d099
Автор, да вы теперь знамениты :)

З.Ы. Забавно, я узнал об ImageTragik посмотрев DNS записи домена istheinternetonfire.com

@4lemon 26 янв 2017 в 09:49

Есть немного. Не то чтобы я этого очень хотел, но фарш не возможно провернуть назад:)

Зарегистрируйтесь на Хабре, чтобы оставить комментарий