Уязвимость на Habrahabr или как украсть инвайт

    Все началось с попытки получить инвайт на хабр белыми методами, но, увы получилось иначе и инвайт достался совсем нечестным способом, об этой истории я и хотел бы поведать храброчитателям.

    Заранее прошу прощения у пользователя, которому не повезло, и чей инвайт был использован мною.

    Я как всегда находился в поисках интересной темы для статьи, на которую обратили бы внимание и прислали приглашение на хабр, и вот меня посетила интересная идея: «А что если найти какую нибудь уязвимость на самом хабре и написать про это статью?»

    Все, цель была выбрана, и я приступил к поискам узких мест сайта:

    После долгих попыток я остановился на страничке загрузки приглашения, тут после нескольких экспериментов стало ясно что изображение должно быть в формате PNG (т.к. на другие форматы форма не реагировала), я загрузил первое попавшееся изображение и увидел что в ответ аякс вернул какой-то ID



    который подставлялся в скрытое поле формы как некий invite_code



    Далее поэкспериментировав, я понял, что это некий счетчик загруженных файлов, я предположил: «а что если подставить данный ID в поле, только изменить значение на +2 или +3», получалось что когда я отправлял форму с подставным id, система бы воспринимала как будто я залил приглашение на сайт. И действительно после 10 минут усердного ввода капчи я успел перехватить id файлика приглашения другого человека и естественно раньше него успел ввести капчу и, вуаля!!!, выдало сообщение что настройки сохранены, тут же сразу захожу на свою страничку и вижу

    image

    Моей радости не было предела, наконец то я полноценный участник сообщества.

    Я сразу же отписался в суппорт, даже позвонил по номеру телефона в компанию ТМ, в течении получаса со мной по почте связался тех. специалист компании я объяснил подробно данную уязвимость. Спустя час уязвимость была локализована, я получил благодарность от компании в виде инвайта, который собственно и украл.

    Еще раз прошу прощения у потерпевшего.
    Share post

    Comments 138

      –285
      Ахаха! Молодец!
      Теперь половина пользователей «Read-only» получат инвайт.
      P.S. при условии что они постоянные читатели
        +242
        Я конечно дождался пока уязвимость устранят и после этого выложил статью
          +13
          Всё правильно сделал!
            +2
            ИЖ!
            +5
            Эгоист!
            • UFO just landed and posted this here
                0
                Мне кажется тот кто догадался воспользоваться уязвимостью уже заслуживает инвайт. Поэтому вначале я подумал что это может быть не баг а фича :)
                  –2
                  А зачем выложил-то? Нет, я не спорю, что публиковать незакрытые уязвимости неэтично. Я просто не вижу смысла публиковать закрытые, кроме как строчкой вида «Надысь нашёл баг с перехватом ID инвайт-тикета, вчера отдал чинить». Зачем эта статья? Для чего?
                    0
                    Обычно такие статьи — другим урок… О том как НЕ надо делать…
                      0
                      Эм. Наверное, я криво формулирую.
                      Для чего нужно руководство, которым нельзя воспользоваться? Зачем делать «урок о том, как не надо» в формате подробного мануала?
                      0
                      Мне лично интересно читать статьи, где люди описывают свой опыт в той или иной области.
                    +75
                    >Спустя час уязвимость была локализована
                    >Теперь половина пользователей «Read-only» получат инвайт.
                    Хоть бы прочитал до конца, прежде чем комментировать.
                      –64
                      Так обрадовался и хотел рассказать друзьям, что недочитал, сори.
                        +42
                        Так зачем же было тратить время на коммент? Быстрее друзьям нужно было бы писать — хакать как можно скорее!!11
                          +18
                          Дык первый же, как это первому не оставить камент? Даже дом гореть будет, а первый всгда оставит камент, потому что первый!
                          • UFO just landed and posted this here
                      +1
                      уязвимость была локализована
                        +25
                        Извините что не по теме, но печально смотреть как вполне адекватного и активного хабра-человека за один неудачный комментарий можно сказать казнили.
                        Ладно минус комментарию, но еще и карму слили. Зачем?
                        Поставлю человек плюс, хоть это уже по ходу ничего не меняет :/
                          +8
                          Он может сделать сброс. Ну а еще проблема в том, что человек настолько хотел стать первонахом, что осудил статью по 3-6 строкам
                            +2
                            Это не ответ. Сброс можно сделать лишь раз, но не в сбросе дело.
                            Вопрос был почему за один — один! — комментарий адекватного и активного юзера фактически «хаброказнили» — есть ли в таком поведении смысл?
                              0
                              Ещё раз говорю: пользователь совершил хабрасуицид, потому что читает первую и последнюю строки статьи. Даже не предпоследнюю (иначе он бы не стал писать то, что написал). А первую и последнюю. Чувствуете, что он это как бы сам этого добивался?
                                +1
                                Ваш вывод непонятен — о «локализации» уязвимости сказано лишь в предпоследнем абзаце, да и само слово «локализация» не означает устранение уязвимости — автор топика неверно выбрал выражение.
                                Прочитав одну статью по диагонали, и поспешно откомментировав автор «как бы добивался» хаброказни? Сомнительно.
                                  0
                                  Для 285 хабрапользователей это выглядело именно так
                                  0
                                  Но он всё же потом извинился =/
                                    0
                                    Я бы не назвал это извинением, откровенно говоря 8)
                                      +1
                                      Я не совсем логику понимаю слива кармы и рейтинга единовременно.
                                      То что слили рейтинг, это понятно — негативная оценка к комментарию. Но вот, зачем карму понижать, честно говоря, не понимаю. Я всё же считал, что карма отражает вклад в сообщество…
                                        0
                                        Это социальное сообщество. А значит оно не поддаётся логике
                                          0
                                          > есть ли в таком поведении смысл?
                                          Т.е. ваш ответ: «нет, и не просите — это социальное общество» ((-:
                                            0
                                            Ё моё, да успокойтесь уже.
                                            Всё равно ничего не изменить
                                              0
                                              Читаю как «оставьте меня в покое» (-;
                                                0
                                                Хорошо.
                                                Оставьте меня в покое. Почему я должен отдуваться за всё сообщество?
                                                0
                                                Ну что значит не изменить.
                                                До моего сообщения у него было -45 в карме, теперь -22, не смотря на активное сливание обиженных (на что я так и не понял).

                                                Еще чуть-чуть и у человека будет второй шанс.
                                0
                                Жалко юзера wowkin :(
                                  +7
                                  Дело в том, что топик очень популярный и резонансный.

                                  В реальной жизни всё так же.

                                  Написать плохой комментарий в каком-нибудь узкопрофильном хабе — как рассказать унизительную историю о себе знакомым на лавочке. Ну дадут пару кулаков в крайнем случае и забудут.

                                  Написать плохой комментарий к такому топику — как рассказать такую же историю в мегафон на площади во время массовой демонстрации или гуляния, опозориться на всю страну.
                                    +2
                                    +1 вам, но не забывайте, что первый человек, который пришёл погулять на площадь, ещё не в курсе «резонансности происходящего».
                                      0
                                      Значит не повезло. Совсем как в жизни.
                                        0
                                        За это, собственно, и «+1» :-)
                                    +1
                                    А что тут печального? Это давно уже норма хабралайфа: облажался — умри! Тут не любят неугодных, имеющих свою точку зрения или просто неудачно пошутивших людей. За это их заклюют, растопчат и уничтожат. После такого люди уже не возвращаются. Во всем виновата система, которая стимулирует кармадрочерство и убивает желание писать на хабре у многих адекватных людей.
                                    +1
                                    216 read-only получили инвайт с 15 кармы и заминусовали вас и ваш комментарий.
                                    +33
                                    Молодцом!
                                    заслуженно «получил» инвайт
                                      +8
                                      Заслуженно украл инвайт
                                      Хорошее выражение
                                        +3
                                        Скорее «отработал»
                                          0
                                          Да всё равно молодец!
                                          Главное — голова работает.
                                      +10
                                      Осталось найти «потерпевшего».
                                        +5
                                        Сейчас тут появятся десятки «потерпевших». И потребуют вернуть инвайт.
                                          +13
                                          Не появятся — у них же read-only аккаунт и они сейчас читают просто статью, без возможности написать «Верните инвайт, негодяи!»))
                                            +6
                                            Хабр знает, кто отправил инвайт — ему просто его вернут. Ну или не вернут — это уж как НЛО решит.
                                              +64
                                              «Зачем нам неудачники»?
                                              0
                                              Не появятся. Они же «Read-only».
                                              Интересно, можно ли найти, кому предназначался тот инвайт и кем он был выдан.
                                              +1
                                              Отправил автору инструкцию по выяснению потерпевшего в ЛС. Думаю, что уязимость схожа с найденой мной и выяснить email-потерпевшего не состивит труда.
                                              Вызываю antonk18 в эту ветку, дабы огласил результат.
                                                0
                                                Кстати, если интересно могу написать в саппорт об этой уязимости и позже написать об этом статью. Правда она куда безобидней и требует в наличии инвайт.
                                                  +1
                                                  Отписал в личку, а в настройках указаны мои ящики эл. почты
                                                  И кстате службу поддержки просил вернуть инвайт человеку у которого его похитил
                                                    0
                                                    Значит корни уязвимостей растут из разных мест. Но система инвайтов-картинок хоть и интересна, но не совершенна, это однозначно
                                                      0
                                                      А вы дайте ему инвайт, вам всё равно за статью должен достаться
                                                        +2
                                                        К сожалению не могу никак узнать кому он принадлежал :(
                                                  +5
                                                  А ларчик просто открывался
                                                    +2
                                                    А почему зарегистрирован 14 мая 2012? Это потерпевший?
                                                      +4
                                                      «Read Only» был?
                                                      0
                                                      Видимо тогда зарегистирован read only aкк
                                                        0
                                                        дата регистрации ставится тогда, когда человек просто зарегистрировался на хабре(рид-онли).
                                                        У меня также, прошлым годом регистрация, а инвайт месяц назад только получил.
                                                        +3
                                                        Точно так же получил инвайт)) но уязвимость была посерьезнее)) Тоже отписался на почту компании… давненько это было)
                                                          +7
                                                          Вот для чего НЛО похищает людей.
                                                            +17
                                                            НЛО могла бы им плашки выдавать, типа «хакер». Интересно, сколько их на хабре? )
                                                          +20
                                                          Четкий, программистский способ
                                                            +19
                                                            все же скорее тестерский/пентестерский.
                                                            0
                                                            Всё правильно сделал!
                                                              +5
                                                              antonk18, молодец! А кто-то просто находит и молчит…

                                                              Ну все… Терь понесется неофициальная олимпиада по поиску уязвимостей на хабре!!!
                                                              Терь все будут искать нераскрытые уязвимости «в поте лица»…
                                                              Держись, Хабр!
                                                              • UFO just landed and posted this here
                                                                  0
                                                                  Ну в этом и есть разница между black-hat и white-hat
                                                                +1
                                                                10 минут, это еще повезло. Можно было пол дня так сидеть, капчу набивать…
                                                                • UFO just landed and posted this here
                                                                  +3
                                                                  А вдруг подобные уязвимости неслучайны?
                                                                  Вдруг НЛО специально таким образом отбирает хакеров и затем использует в каком-то тайном проекте? Рекрутируют для Anonymous group)
                                                                    +21
                                                                    А кто не соглашаются, принудительно получают -100 и «Тролль»
                                                                    +4
                                                                    После регистрации надо было посмотреть, кто папа. У и просить прощения у него.
                                                                      0
                                                                      Папа в данном случае — НЛО. На скриншоте видно.
                                                                        +1
                                                                        На скрине:
                                                                        Зарегистрирован:14 мая 2012 в 21:08 по приглашению НЛО
                                                                          0
                                                                          я это видел, но думаю, что изначально там было имя пострадавшего.
                                                                            +3
                                                                            изначально там было НЛО, и смысл мне обманывать
                                                                              +1
                                                                              Пострадавший — тот, кто не успел активировать инвайт, а не тот, кто его выдал.
                                                                                +2
                                                                                Отчасти пострадали оба. Прежде, чем выдать инвайт, его приходится самому заработать, а это не так-то просто — сочинить блогозапись, достигающую трёхзначного положительного рейтинга.
                                                                                  +1
                                                                                  необязательно трёхзначного. Просто статья должна понравится тому, кто имеет лишний инвайт.
                                                                                    +3
                                                                                    ться*
                                                                                      0
                                                                                      Читаем внимательно.
                                                                                      Чтобы «иметь лишний инвайт» —
                                                                                      его приходится самому заработать, а это не так-то просто — сочинить блогозапись, достигающую трёхзначного положительного рейтинга.

                                                                                      С неба инвайты не падают, если человек выдал инвайт — он должен прежде его заработать, а когда потом (или пОтом :-) заработанный инвайт уходит в никуда — обидно.
                                                                                      У меня как раз так: пригласил человека из песочницы. И параллельно ему дал инвайт НЛО. С одной стороны хорошо — достойный человек на хабре. С другой — у меня инвайт потратился впустую. Нехорошо, однако :-)
                                                                                      Думаю, про это Mithgol и написал.
                                                                            +22
                                                                            Самый правильный способ получить инвайт на ИТ-ресурс.
                                                                              +52
                                                                              Напомнило:
                                                                              Срочно требуется опытный хакер! Резюме оставлять на рабочем столе нашего сервера.
                                                                              • UFO just landed and posted this here
                                                                                  +3
                                                                                  Сервера ведь не только на базе Linux, Unix. Есть еще и виндовые (Win2k3, 2k8)
                                                                                    +3
                                                                                    Есть и холиварная середина — os x server, например. И стол тебе, и как бы юникс.
                                                                                    • UFO just landed and posted this here
                                                                                      • UFO just landed and posted this here
                                                                                    +11
                                                                                    А самый правильный способ получить инвайт на ресурс по бизнесу — открыть свой конкурирующий ресурс, задавить и купить оригинальный.
                                                                                    А на ресурс по юриспруденции — отсудить.
                                                                                      0
                                                                                      кстати можно засудить за дискриминацию
                                                                                    +2
                                                                                    Инвайт заслуженный.
                                                                                      –14
                                                                                      Это был мой инвайт. Верни!
                                                                                        +14
                                                                                        Возможно, после этого комментария мой аккаунт отправит в read-only НЛО. Но XSS уязвимость не закрыта с 6 января.
                                                                                        Да, ее трудно воспроизвести, но ведь крыть то нужно.
                                                                                          +10
                                                                                          Раньше за такие посты банили
                                                                                            +20
                                                                                            Автор дождался, пока уязвимость исправят. Не вижу причин банить, например.
                                                                                              +3
                                                                                              Я и раньше не видел, но вот было такое негласное(а может и гласное) правило=)
                                                                                                +2
                                                                                                Тогда человек выкинул способ обойти капчу, случайно( из черновиков в паблик вышла). Ему дали бан, хоть он и не специально.
                                                                                                Ну как я например, но я уведомил разработчиков 5 Января, а толку то.
                                                                                                Посмотрим что будет, интерес, знаете ли :)
                                                                                                  +1
                                                                                                  Еще был случай с внутренним голосом)
                                                                                                    +1
                                                                                                    И возможность писать из песочницы в ленту)
                                                                                                    +2
                                                                                                    Передал информацию про XSS разработчикам, сейчас исправим.
                                                                                                      +2
                                                                                                      Минутку, удалю фото.
                                                                                                      0
                                                                                                      Видимо где-то потеряли таск. Уже занимаются этой проблемой.
                                                                                                        +1
                                                                                                        Боюсь, что это вина Boomburum, я ему писал.
                                                                                                        Может забыл?
                                                                                                        image

                                                                                                        P.S Уважаю оперативность!
                                                                                                          +12
                                                                                                          Оказывается, я еще и заработать пытался…
                                                                                                          Минус мне!
                                                                                                            +3
                                                                                                            Ц-ц-ц )

                                                                                                            Помню такое письмо, но почему баг не исправили до сих пор, сейчас сложно сказать — минус мне ) Но сейчас исправим.

                                                                                                            В любом случае, подобные вещи лучше сразу писать в суппорт.
                                                                                                              0
                                                                                                              Будем знать.
                                                                                                              Все хорошо то, что хорошо кончается :)
                                                                                                                0
                                                                                                                А другие ситуации, не связанные с уязвимостью, багами не считаются? Писал как-то об этом здесь: habrahabr.ru/qa/35203/ ничего не изменилось… Или это тоже в суппорт нужно репортить? Вообще, такое впечатление, что сайт ведет один разработчик, который просто физически не успевает (не хочет?) поддерживать его в состоянии, что называется «в ногу со временем», а тем более исправлять баги, не использует тесты и тд… Возможно, я ошибаюсь.
                                                                                                                  0
                                                                                                                  Верстка — ахиллесова пята любого ресурса.
                                                                                                                    0
                                                                                                                    Подобные штуки тоже лучше в суппорт. А штат у нас и правда небольшой ;)
                                                                                                      0
                                                                                                      в 1937-м?
                                                                                                      +11
                                                                                                      Все, начинается неделя уязвимостей хабра
                                                                                                        +4
                                                                                                        Сказал виновник торжества :)
                                                                                                        –22
                                                                                                        Зделка прошла успешно. Инвайт взял впирод.
                                                                                                          –1
                                                                                                          гениально :)
                                                                                                            –15
                                                                                                            Мистер жополиз, это вы?
                                                                                                            • UFO just landed and posted this here
                                                                                                            –1
                                                                                                            У вас дата регистрации май 2012 года. Уязвимость получается почти год исправляли?
                                                                                                              +2
                                                                                                              Дата регистрации != дата инвайта
                                                                                                              Регистрация может быть и read-only
                                                                                                                0
                                                                                                                Дата обнаружения уязвимости и сообщения в саппорт, думаю, примерно совпадает вот с этим вопросом в Q&A:
                                                                                                                habrahabr.ru/qa/38281/

                                                                                                                Т.е. уязвимость была исправлена менее чем за сутки.
                                                                                                                  +1
                                                                                                                  автора вопроса смотрели?
                                                                                                                    0
                                                                                                                    Ну так я про то и говорю. Что автор то один. А значит в саппорт Вы написали вчера.
                                                                                                                      +2
                                                                                                                      «Спустя час уязвимость была локализована»
                                                                                                                        +1
                                                                                                                        Т.е. уязвимость была исправлена менее чем за сутки.

                                                                                                                        Не противоречит
                                                                                                                        «Спустя час уязвимость была локализована»

                                                                                                                        А я уже и забыл о таких мелочах в посте.

                                                                                                                        Ну и да, развели мы тут полемику на ровном месте ))
                                                                                                                  +1
                                                                                                                  Выше уже писали, что это дата регистрации рид-онли акка. Стоило обновить комментарии, однако.
                                                                                                                  +5
                                                                                                                  невиданный рост кармы и рейтинга у автора, уже 7-й в рейтинге хабралюдей :)
                                                                                                                    +10
                                                                                                                    Ждём пост 'Уязвимость на Habrahabr или как накрутить рейтинг'
                                                                                                                      +3
                                                                                                                      это «социальная уязвимость») точнее, социальный фокус
                                                                                                                      вот, автор украл инвайт, технично рассказал всем об этом, еще и оказался на коне))
                                                                                                                      +2
                                                                                                                      Карма на позицию в рейтинге не влияет.
                                                                                                                        +2
                                                                                                                        Читайте его следующую статью «как повысить себе карму».
                                                                                                                          +1
                                                                                                                          уже 5-й, а пост по просьбам читающих обязательно напишу
                                                                                                                          +2
                                                                                                                          А чё, правильно. Было бы неплохо если бы регистрацию проходили исключительно методом взлома формы регистрации :)
                                                                                                                            +2
                                                                                                                            >>даже позвонил по номеру телефона в компанию ТМ
                                                                                                                            А когда я звонил по вышеозначенному телефону, мне ответил испуганный молодой человек, который сказал, что про хабр ничего не знаем, пишите на email и вообще ходют тут всякие.
                                                                                                                              +1
                                                                                                                              Хочешь инвайт? Взломай хабр!
                                                                                                                                +3
                                                                                                                                Автор не только попал на хабр, но ещё и получил от него хороший заряд на всю оставшуюся жизнь.
                                                                                                                                  +3
                                                                                                                                  «Раньше я просил Бога, чтобы он подарил мне велосипед, но потом я понял, что Бог работает по-другому — я украл велосипед и стал просить Бога о прощении...»

                                                                                                                                  Only users with full accounts can post comments. Log in, please.