Статья действительно интересная, спасибо за ссылку, почитал.
Автор почерпнул большинство идей, основываясь на своём собственном опыте, а также на основе репортов на hackerone. Мне кажется немного странным, что Вы так быстро решили, что некоторые из идей почерпнуты именно из этой статьи, так как если это было действительно так, я бы обязательно включил её в свою статью как ценный источник информации. Мы все здесь учимся и моя «гордость» из-за этого не пострадала бы.
«В результате часть DOM HTML страницы будет отправлена на ресурс атакующего. Высока вероятность того, что если атакующий правильно внедрит такой HTML, тогда то, что придет на сайт атакующего, будет содержать CSRF-токен.»
А не проще встроить скрипт js сниффера на страницу и прислать полный исходный код себе в логи? Часто получаю логины, пароли, api токены и куки (которые на httponly) из исходника. Например ">
Я написал, что мог отредактировать любую статью в telegraph только в названии статьи, не смог написать «возможность редактирования любой статьи telegra.ph, если жертва перейдет по ссылке», потому что есть лимит в заголовке.
В самой статье я упомянул, что нужно, чтобы пользователь перешёл по ссылке и статья изменится.
Здравствуйте, Георгий.
«Например, ссылки с параметрами start/startgroup для ботов не индексируются даже если где-то выложены» — кажется, индексируются www.google.nl/search?q=site%3At.me+start%3D и то, как я получил код для доступа к боту с инсайдами на $500 — тому пример.
«Для запрета индексации используется более гибкий способ – мета-теги» — я что-то не вижу таких мета-тегов. Например, на t.me/joinchat/AAAAAEI3MkvLqlXEPSUahg нету тегов запрета индексации (вроде бы ), так что любой поисковый бот может свободно «складировать» ссылки.
У меня ещё есть вопрос к Вам: А разработчики не могли раньше со мной это обсудить, чтобы я не выпускал статью с такими заголовком и текстом? С самого первого репорта я присылал сообщение, в котором я говорил о том, что собираюсь написать статью на хабре.
И 5 дней назад прислал разработчикам письмо с частью текста из статьи.
Кстати, очень интересно, если мне сейчас отвечает по поводу этой статьи глава пресс-службы Вконтакте, — сайта, который предоставляет всю необходимую информацию для правоохранительных органов, то о какой о безопасности данных в телеграмме мы сейчас вообще можем говорить?
Согласен с Вами, когда я только обнаружил баг, взял несколько ссылок из >100 страниц, пытался обнаружить, публиковали ли их в яндекс/гугл, но оказалось, что их не публиковали. Похоже, это хром.
Вот пост. Скорее всего наградили, ведь в комментариях к посту разработчик написал, что будет награда и чтобы программист обратился к ним. Дуров тоже в vk написал, что баунти будет.
Последний раз, когда я проверял, было 5 миллионов (раньше, когда выбивало 900 000, я заходил на >100 страниц, всё работало). После того, как я нашёл эту багу, иногда заходил в гугл, и часто были разные значения, когда-то вообще показывало выдачу в пару тысяч только (и писало, что пару тысяч). Сравнивал выдачу дорков по яндексу и гуглу, в яндексе всё стабильно — как было 900 ответов, так и осталось https://yandex.ru/search/?text=site%3At.me%20join, а вот с гуглом по другому. Я не знаю, каким образом, но если листать дальше, там сейчас и правда 462 результата, хоть и пишет «Результатов: примерно 769 000».
Спасибо за сообщение, обновил статью, добавил, что дорк больше не работает.
Если тикет в техподдержку создается по POST-запросу без временного токена (просто проверка куки пользователя), это не безопасно?
Если нет csrf токена, то это не безопасно. Иногда, даже когда токены прикрепляются к запросу, их можно обойти.
А как посылают POST?
Просто крафтят эксплойт с post запросом на стороннем сайте, жертва переходит по ссылке и выполняет этот запрос (так же можно выполнить этот post запрос, используя xss на уязвимом сайте). Можно создать эксплойт вручную, а можно сэкономить время и сделать его в burp pro.
Ну, такая волатильность у биткоина, что поделаешь :) Ему очень нужны эти коррекции для того, чтобы взять новые вершины. Мог бы продать, когда был подъем до $20 000, но думаю придержать до 25-30
Вот https://leanpub.com/web-hacking-101. Прочитал её, немного нового узнал. Будет полезна как новичкам, так и опытным багхантерам. P.S: Ходят легенды, что если хорошо поискать, то можно и не платить $10 за книгу.
Тестирование двухфакторной аутентификации и возможные варианты обхода
Тестирование двухфакторной аутентификации и возможные варианты обхода
Тестирование двухфакторной аутентификации и возможные варианты обхода
Автор почерпнул большинство идей, основываясь на своём собственном опыте, а также на основе репортов на hackerone. Мне кажется немного странным, что Вы так быстро решили, что некоторые из идей почерпнуты именно из этой статьи, так как если это было действительно так, я бы обязательно включил её в свою статью как ценный источник информации. Мы все здесь учимся и моя «гордость» из-за этого не пострадала бы.
Тестирование двухфакторной аутентификации и возможные варианты обхода
Эксплуатация cookie-based XSS | $2300 Bug Bounty story
Unrestricted File Upload at Apple.com
Размышления от меня и Jobert Abma (создатель площадки HackerOne) на эту тему здесь https://twitter.com/qiecew9w/status/1010280716813459457?s=21
CSRF-уязвимости все еще актуальны
А не проще встроить скрипт js сниффера на страницу и прислать полный исходный код себе в логи? Часто получаю логины, пароли, api токены и куки (которые на httponly) из исходника. Например ">
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
В самой статье я упомянул, что нужно, чтобы пользователь перешёл по ссылке и статья изменится.
Спасибо за сообщение, дополню статью.
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
«Например, ссылки с параметрами start/startgroup для ботов не индексируются даже если где-то выложены» — кажется, индексируются www.google.nl/search?q=site%3At.me+start%3D и то, как я получил код для доступа к боту с инсайдами на $500 — тому пример.
«Для запрета индексации используется более гибкий способ – мета-теги» — я что-то не вижу таких мета-тегов. Например, на t.me/joinchat/AAAAAEI3MkvLqlXEPSUahg нету тегов запрета индексации (вроде бы ), так что любой поисковый бот может свободно «складировать» ссылки.
У меня ещё есть вопрос к Вам: А разработчики не могли раньше со мной это обсудить, чтобы я не выпускал статью с такими заголовком и текстом? С самого первого репорта я присылал сообщение, в котором я говорил о том, что собираюсь написать статью на хабре.
И 5 дней назад прислал разработчикам письмо с частью текста из статьи.
Кстати, очень интересно, если мне сейчас отвечает по поводу этой статьи глава пресс-службы Вконтакте, — сайта, который предоставляет всю необходимую информацию для правоохранительных органов, то о какой о безопасности данных в телеграмме мы сейчас вообще можем говорить?
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
Спасибо за сообщение, обновил статью, добавил, что дорк больше не работает.
СберШифт: пять раз нажимай и в систему попадай
Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
Если нет csrf токена, то это не безопасно. Иногда, даже когда токены прикрепляются к запросу, их можно обойти.
Просто крафтят эксплойт с post запросом на стороннем сайте, жертва переходит по ссылке и выполняет этот запрос (так же можно выполнить этот post запрос, используя xss на уязвимом сайте). Можно создать эксплойт вручную, а можно сэкономить время и сделать его в burp pro.
Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
P.S: Ходят легенды, что если хорошо поискать, то можно и не платить $10 за книгу.Хакерские байки c Quora