Возникло чувство, что статью писала нейронная сеть (Особенно если просмотреть на код и заключение) . В предложенном решении нет никакого смысла... Возможно автору стоит самом сначала разобраться в том, что он пишет, а уже потом делать публикации.
Данный недостаток позволяет получить исполнение JS кода на фронтенде ( То есть украсть приватные данные пользователя), на любом ресурсе, который имеет функционал загрузки/скачивания файлов. Если грубо и коротко
Уязвимости подвержены браузеры на базе Chromium на всех устройствах. Для некоторых устройств Гугл выпустило патч в рамках программы долгосрочной поддержки. ( Патч внесен в LTS 114 )
На данный момент JIT используется только в Payment App, но если разработчики Chromium решат использовать его в связке с другими Web API - им действительно придется тщательнее продумывать архитектуру решения, чтобы не допустить той же ошибки вновь.
Автор молодец, что пытался максимизировать свою прибыль и попытаться раскрутить вектор, но это не является уязвимостью. Если ознакомиться с правилами багбаунти Яндекса, можно увидеть:
открытые перенаправления, но если только проблема не влияет на безопасность сервиса, например, позволяет украсть пользовательский аутентификационный токен.
Это стандартная практика, такие правила выставляют все программы на h1. Так как прямого импакта нет, его можно достичь только соц.инженерией
Человек, который был всегда одним из людей заставляющих меня искать уязвимости. Человек, который вдохновил многих багхантеров. Поистине легенда, сделавшая этот мир лучше. Спи спокойно Кевин, твое дело будет жить в людях, которых ты вдохновил...
Эх, годы идут, а качество задач на НТО становится только хуже.
Как известно, соревнования attack-defence крайне сложно организовывать (особенно на олимпиадах для школьников).
Для меня остается загадкой смысл данного предложения. Какие ограничение на формат AD накладывает участие в нем школьников? Если автор имеет ввиду сложность поднятие инфраструктуры участниками, то это легко парировать - выдавать вулнбоксы с поднятыми фермами и пакмейтами. Так же есть большие вопросы к качеству заданий, авторы взяли очень шаблонные уязвимости. Хорошее Web CTF задание - должно представлять собой мини исследование от автора. Чтобы решая данное задание участники открыли для себя что-то новое. Impact от таких заданий - околонулевой. Ну как говорится, https://cbsctf.ru/oops.
Спасибо за лестный отзыв! Спешка была вызвана тем, что багу зафиксили, но я не увидел даже сообщения вида "Ваш отчет принят к рассмотрению", просто тишина.
Даже простое выставление бага на такие платформы может нести риск для пользователей. (Так как заставить активно ресерчить на этот тип уязвимости приложение). Лично мои морально-этические устои такого делать не позволяют.
Хорошая статья! Я как автор того злополучного XSS, хочу отметить, что уязвимостей за эти годы было на самом деле больше. Telegram заставляет подписать NDA, если ты получаешь от них деньги. По данному соглашению, ты не имеешь права рассказывать о уязвимости, сколько бы времени не прошло (Другие вендоры обычно разрешают делать это спустя 90 дней). Поэтому все что всплыло - лишь верхушка айсберга.
Это в целом болезнь всего российского цтфа. Очень часто у нас цтф делают люди, которые не играют в цтф. У них нет представления о том как выглядит здоровый ивент. Как говорится https://cbsctf.ru/oops...
Возникло чувство, что статью писала нейронная сеть (Особенно если просмотреть на код и заключение) . В предложенном решении нет никакого смысла...
Возможно автору стоит самом сначала разобраться в том, что он пишет, а уже потом делать публикации.
Злоумышленник должен направить вас на сайт, который подконтролен ему.
Данный недостаток позволяет получить исполнение JS кода на фронтенде ( То есть украсть приватные данные пользователя), на любом ресурсе, который имеет функционал загрузки/скачивания файлов. Если грубо и коротко
Уязвимости подвержены браузеры на базе Chromium на всех устройствах. Для некоторых устройств Гугл выпустило патч в рамках программы долгосрочной поддержки. ( Патч внесен в LTS 114 )
На данный момент JIT используется только в Payment App, но если разработчики Chromium решат использовать его в связке с другими Web API - им действительно придется тщательнее продумывать архитектуру решения, чтобы не допустить той же ошибки вновь.
Спасибо за лестный отзыв! Telegram просит подписать NDA при получении денежных средств, чего я делать не стал.
Автор молодец, что пытался максимизировать свою прибыль и попытаться раскрутить вектор, но это не является уязвимостью. Если ознакомиться с правилами багбаунти Яндекса, можно увидеть:
Это стандартная практика, такие правила выставляют все программы на h1. Так как прямого импакта нет, его можно достичь только соц.инженерией
Человек, который был всегда одним из людей заставляющих меня искать уязвимости. Человек, который вдохновил многих багхантеров. Поистине легенда, сделавшая этот мир лучше. Спи спокойно Кевин, твое дело будет жить в людях, которых ты вдохновил...
Да, все верно.
Если у них нет программу дисклоуза или багбаунти - да. Тут можно спасибо говорить на том моменте, когда на вас в суд уже не подали)
Эх, годы идут, а качество задач на НТО становится только хуже.
Для меня остается загадкой смысл данного предложения. Какие ограничение на формат AD накладывает участие в нем школьников? Если автор имеет ввиду сложность поднятие инфраструктуры участниками, то это легко парировать - выдавать вулнбоксы с поднятыми фермами и пакмейтами.
Так же есть большие вопросы к качеству заданий, авторы взяли очень шаблонные уязвимости. Хорошее Web CTF задание - должно представлять собой мини исследование от автора. Чтобы решая данное задание участники открыли для себя что-то новое. Impact от таких заданий - околонулевой. Ну как говорится, https://cbsctf.ru/oops.
Спасибо за информацию! Мне написало несколько человек уже, опыт у всех прям разный. Один человек ждал 2 месяца)
Вы попались на уловку :)
Спасибо за лестный отзыв! Спешка была вызвана тем, что багу зафиксили, но я не увидел даже сообщения вида "Ваш отчет принят к рассмотрению", просто тишина.
Telegram Desktop написан на C++, вы правы. Но Telegram имеет несколько официальных клиентов. Один из них используют как раз Electron
Даже простое выставление бага на такие платформы может нести риск для пользователей. (Так как заставить активно ресерчить на этот тип уязвимости приложение). Лично мои морально-этические устои такого делать не позволяют.
Хорошая статья! Я как автор того злополучного XSS, хочу отметить, что уязвимостей за эти годы было на самом деле больше. Telegram заставляет подписать NDA, если ты получаешь от них деньги. По данному соглашению, ты не имеешь права рассказывать о уязвимости, сколько бы времени не прошло (Другие вендоры обычно разрешают делать это спустя 90 дней). Поэтому все что всплыло - лишь верхушка айсберга.
Уязвимость работала и в версии Telegram A и в версии Telegram K. Для версии K, её сразу же пофиксили на стороне бекенда
Полностью с вами согласен, к сожалению достаточное количество людей его использует. Так как он от официальной команды Telegram A.
Это в целом болезнь всего российского цтфа. Очень часто у нас цтф делают люди, которые не играют в цтф. У них нет представления о том как выглядит здоровый ивент. Как говорится https://cbsctf.ru/oops...