Как мы ломали docshell.ru

    Привет, Хабр!

    BugHunt – это сервис публикации программ вознаграждения за найденные уязвимости. Мы помогаем различным организациям запустить собственные bug bounty программы и берём на себя всю рутину: разрабатываем условия программы, привлекаем к участию исследователей, обрабатываем отчёты и даём рекомендации по устранению дыр.
    Получается почти как пентест, но дешевле, лучше, и платишь тут не за красивый отчёт, а за реальные дыры.


    Первыми экономию на bug bounty программах заметили Google, Яндекс, Qiwi и другие ИТ гиганты (тут полный лист), что, конечно, легко объяснить: чтобы организовать свою компанию по ловле дыр нужны кадры и бюджет.
    Мы постараемся сделать так, чтобы программу вознаграждения за найденные уязвимости смогла позволить себе любая компания.
    Программа вознаграждения за найденные уязвимости docshell.ru

    Первым нашим клиентом стал сервис DocShell.
    За 3 недели существования сервиса BugHunt и программы вознаграждения DocShell мы получили почти 40 отчетов с информацией о различных дырах.

    Из них примерно 10 отчетов (25%) были отклонены, так как дублировали информацию о найденной дыре (по правилам работы сервиса, кто первый сообщил об уязвимости, тот и получает вознаграждение).
    Самой серьезной дырой, которую пока что откопали на сервисе DocShell, оказалась возможность читать чаты с техподдержкой других пользователей. Для этого достаточно было в URL www.docshell.ru/Chat/LoadHistory?destinationUserId=XXXX вставлять произвольный параметр UserId. За эту дыру мы тут же выплатили 30 тысяч рублей (спасибо исследователю с ником sm!).
    Другим исследователям повезло меньше, и средний объем выплаченного вознаграждения за одну дыру составил 5 тысяч рублей. Однако многие присылали нам сразу по несколько отчётов и в результате заработали не меньше.
    Самой популярной уязвимостью стали различные типы CRSF атак, но все они требовали каких-либо активных действий на посторонних сайтах от имени авторизованного пользователя, поэтому мы присваивали таким уязвимостям низкую категорию опасности. В качестве защиты от подобных атак разработчики сервиса оперативно внедрили anti-csrf токены и отчётов поубавилось.
    Слабым местом в безопасности сайта был так же механизм авторизации и восстановления пароля. Соответствующие формы допускали перебор пользователей и не были защищены от автоматического подбора пароля.
    В виде исключения мы так же заплатили за найденную уязвимость в почтовом сервере Postfix (CVE-2011-1720), хотя он и не являлся частью сервиса docshell а просто висел с ним на одном ip адресе.
    Кстати, программа вознаграждения за найденные уязвимости на сайте docshell.ru все еще действует, хоть и призовой фонд уже сильно похудел. Узнать о новых программах первыми можно через наш твиттер @bughuntru.
    Вы так же можете проверить свой сайт через наш сервис! Сейчас разработку и публикацию программ вознаграждения мы делаем бесплатно, поэтому если на Вашем сайте не найдут уязвимостей — вы не заплатите ни копейки.

    Only registered users can participate in poll. Log in, please.

    Что бы Вы хотели видеть в наших статьях?

    • +6
    • 10.2k
    • 8
    BugHunt
    8.32
    Company
    Share post

    Comments 8

      –10
      Рад, что не только мы занимаемся поиском ошибок. Привет, коллеги!
        +4
        Угу, ни одну багу не засчитали
          +1
          16 баг засчитали. 82к уже выплатили.
          +2
            0
            Что-то я на этом вашем Docshell зарегаться не могу — письмо не приходит.
              0
              Напишите в техподдержку docshell.ru, пожалуйста. Они должны помочь.
                +3
                Это первое испытание. Регистрироваться можно только через их админку =).
                0
                В общем, с одной стороны, профессионально мне интереснее про взгляд «со стороны управленчества/бизнеса»

                С другой, программист во мне не совсем умер (он просто так пахнет! ) поэтому «подробности» тоже интересны.

                Проголосовал за «и то и другое»

                Only users with full accounts can post comments. Log in, please.