Comments 15
Получается, можно было слить исходники и исполняемые файлы через dns запросы? Чем еще опасна уязвимость? Насколько я понял, прав особо ни на что не хватило бы?
+1
uid=99(nobody)
groups=99(nobody)
gid=99(nobody)
Нельзя слить так просто слить исходники. По крайней мере, пока не будет найдено эксплойта для повышения привелегий и способа вызвать его однострочником на bash. И даже после этого не факт что исходники окажутся на том же сервере. И даже если они там найдутся — через DNS-тоннель они будут передаваться долго...
+1
Ну всё что доступно на чтение от nobody — можно было забрать. Реверсшел с его правами (если бы удалось найти открытый порт). Но по понятным причинам (Facebook policy), я этого не проверял.
0
Facebook умеет радовать размером вознаграждений :)
+2
PoC — это 'proof of concept'?
0
Почему то в чужих постах всё выглядит настолько просто и понятно, что постоянно хочется тоже найти какой нибудь баг на фейсбуках-вконтактах и получить свои $40к
Но у меня никогда не получалось найти ни одной зацепки. Хотя я, наверное, не очень то и пытался =( комрады, подскажите, куда копать? Как искать такие зацепки, которые могут привести к такой уязвимости?
Но у меня никогда не получалось найти ни одной зацепки. Хотя я, наверное, не очень то и пытался =( комрады, подскажите, куда копать? Как искать такие зацепки, которые могут привести к такой уязвимости?
+2
Перевод: комрады, дайте мне $40K, жалко вам, что ли
+4
я написал «как искать зацепки» а не «покажите мне готовые зацепки». Так что скорее уж «Научите меня зарабатывать $40к» но не так как Вы выразились.
+1
Можно начать вот с этого: https://hackerone.com/hactivity
Чтение отчётов вызовет много вопросов, поиск ответов на которые может дать знания. Для начала и этого хватит.
Чтение отчётов вызовет много вопросов, поиск ответов на которые может дать знания. Для начала и этого хватит.
+1
https://news.yandex.ru/yandsearch?cl4url=www.ntv.ru/novosti/1748177/&lang=ru&from=rub_portal&lr=112809&msid=1484903978.84258.22881.30323&mlid=1484903611.th_computers.29f0d099
Автор, да вы теперь знамениты :)
З.Ы. Забавно, я узнал об ImageTragik посмотрев DNS записи домена istheinternetonfire.com
Автор, да вы теперь знамениты :)
З.Ы. Забавно, я узнал об ImageTragik посмотрев DNS записи домена istheinternetonfire.com
0
Sign up to leave a comment.
Трагикартинки Фэйсбука