В данном случает — это учебный стенд для сотрудников, на котором мы и показываем как работает эта уязвимость. Он изолирован от основной инфраструктуры. Но да, на нём мы и показываем, что «вот если такое будет в реальном веб-приложении, то через этот сервер можно попасть вот сюда и сюда и сюда».
Можно начать вот с этого: https://hackerone.com/hactivity
Чтение отчётов вызовет много вопросов, поиск ответов на которые может дать знания. Для начала и этого хватит.
Ну всё что доступно на чтение от nobody — можно было забрать. Реверсшел с его правами (если бы удалось найти открытый порт). Но по понятным причинам (Facebook policy), я этого не проверял.
По моему опыту беда во всех (допускаю, что возможны редкие исключения) компаниях не IT-профиля. Страна не так важна. Писал я в том году в одну мягко говоря крупную компанию. Дабы не играть с огнём, начал я с XSS. И паршиво в плане безопасности, и понятно, и показательно даже не специалисту (когда алерт выскакивает), и условно безопасно для меня. Пробывал писать на всякие admin@, security@ и т.п. Почти по всем адресам отвечал почтовый робот «Де, нету такого адреса у нас на деревне». Вроде бы прошёл в admin@ — ответа не было. Отправил в службу поддержки через сайт. Получил автоответ. Обождал неделю — послал вопрос: «Как там процесс устранение уязвимости». Получил ответ, цитата:
У нас нету (прим.ред.: думаю, что в контексте надо понимать — «нету протокола взаимодействия») «процесса устранения уязвимости», но ваш запрос перенаправлен в наш департамент управления ПО.
Перевод, но достаточно дословный.
После этого тишина. SQLi им даже слать не стал. XSS живы до сих пор. SQLi, естественно, тоже.
*irony*Видимо, мои письма прочитали только аналитики АНБ, и их они тоже не заинтересовали.*irony*
Ох, смело!) На kremlin.ru то) Сам писал в русские компании. Разные компании. И большие и не очень большие. И понял, что профита с этого в общем случае — ноль. Теперь пишу только:
— по заказу — за деньги
— по знакомству — когда понимаю, что могу получить с этого рекомендации в узких кругах
— и в Bug bounty — та ещё олимпиада заплатят/не заплатят, но тоже скорее прибыльно, чем нет.
А писал я много куда:
— автодилеру — ни ответа, ни привета — исправили
— крупному банку — за спасибо, правда от вице-президента)
— крупному разработчику ПО — за спасибо
— эквайрингу какому-то — ни ответа, ни привета — исправили.
и так далее и тому подобное.
Писать в свою юрисдикцию с такими сумрачными перспективами — нет уж, нет уж.
Да, было бы интересно узнать подробности. Ладно деньги, частенько не то что спасибо не говорят, а даже не исправляют. Шлёшь им от чистого сердца во имя мировой справедливости, а они…
Там уже индусы с пакистанцами своими мелкими партиями по полтора миллиона человек прошлись). Хотя вроде с неделю назад там очередное RCE накопали. Моё личное мнение, приятный сердцу и кошельку фарш можно раскопать в азиатских локалях — Тайвань, Гонг-Конг. Сам там неплохо порезвился.
Егор, SQLi в finance — это моя печаль. Действительно, странно. Тем более, что это был ajax-запрос — вещь гораздо менее очевидная, чем обычные урлы. И скриншот был, и следы проверок файловых привилегий на сервере остались, но апеллировать, на мой взгляд, было бесполезно. Бог им судья. Хотя я всё-равно остался вполне доволен. Тем более, что ещё не по всем уязвимостям вынесено финальное решение. Надеюсь на сумму порядка 15к.
Чтение отчётов вызовет много вопросов, поиск ответов на которые может дать знания. Для начала и этого хватит.
Перевод, но достаточно дословный.
После этого тишина. SQLi им даже слать не стал. XSS живы до сих пор. SQLi, естественно, тоже.
*irony*Видимо, мои письма прочитали только аналитики АНБ, и их они тоже не заинтересовали.*irony*
— по заказу — за деньги
— по знакомству — когда понимаю, что могу получить с этого рекомендации в узких кругах
— и в Bug bounty — та ещё олимпиада заплатят/не заплатят, но тоже скорее прибыльно, чем нет.
А писал я много куда:
— автодилеру — ни ответа, ни привета — исправили
— крупному банку — за спасибо, правда от вице-президента)
— крупному разработчику ПО — за спасибо
— эквайрингу какому-то — ни ответа, ни привета — исправили.
и так далее и тому подобное.
Писать в свою юрисдикцию с такими сумрачными перспективами — нет уж, нет уж.
394 доллара было заплачено конкретно за «Open redirect на m.yahoo.com». В целом было выплачено больше 10К долларов.