Комментарии 45
НЛО прилетело и опубликовало эту надпись здесь
В голове невольно сформировался TOP 2 ответов на репорты о багах:
1. Нам уже сообщили про эту уязвимость.
2. Это не баг, это фича такая.
Даже за 150$ баксов придется побороться :)
1. Нам уже сообщили про эту уязвимость.
2. Это не баг, это фича такая.
Даже за 150$ баксов придется побороться :)
-1
Можем предоставить пруфы прямо там в тасках :) За вчерашний день было около 600 репортов со всего мира, и дубликатов и правда очень много.
0
Мне уже подтвердлили, что найденная мной вещь в андроид приложении — это уязвимость. Правда оговорились, что ещё не ясно попала ли она под эту программу поиска уязвимостей
0
Отлично! Только можно вас попросить, после того, как уязвимости будут найдены и пофиксены, сделать большой пост о том, что и как вы пофиксили?
Я думаю это будет интересно всем Хабражителям, вдруг у нас тоже есть похожие дыры, а мы о них не знаем? :)
Я думаю это будет интересно всем Хабражителям, вдруг у нас тоже есть похожие дыры, а мы о них не знаем? :)
+8
Да, безусловно, по итогам месяца мы обязательно расскажем об этом, с примерами и историями :)
Более того, по нашим правилам и правилам HackerOne, после того как баг был закрыт, по истечении 2-3 месяцев его можно «открыть в мир», и кто угодно может рассказать о нём, затвитить, зашарить и т.п.
Более того, по нашим правилам и правилам HackerOne, после того как баг был закрыт, по истечении 2-3 месяцев его можно «открыть в мир», и кто угодно может рассказать о нём, затвитить, зашарить и т.п.
+9
Более того, по нашим правилам и правилам HackerOne, после того как баг был закрыт, по истечении 2-3 месяцев его можно «открыть в мир», и кто угодно может рассказать о нём
В посте немного иначе сказано:
С момента сообщения об уязвимости должно пройти не менее 3 месяцев, прежде чем вы сможете опубликовать её детали.
Уточните, пожалуйста, этот момент. Если сообщение было отправлено, но уязвимость так и не была закрыта, можно ли обнародовать её детали?
+1
Если мы не закрыли уязвимость в течении трёх месяцев — да, это ваше право. Но в этом случае награды не будет :( Мы всегда просим учитывать тот факт, что не все уязвимости в рамках большой компании можно закрыть за этот срок. Например, если уязвимость касается взаимодействия десятков подразделений, то срок исправления может доходить и до полугода.
В случае если мы закрыли уязвимость и видим что в её раскрытии нет ничего плохого, то три месяца ждать не имеет смысла. И дальше вы впринципе в любое время можете надавить кнопку «Раскрыть уязвимость» и она опубликуется на hackerone автоматически.
В случае если мы закрыли уязвимость и видим что в её раскрытии нет ничего плохого, то три месяца ждать не имеет смысла. И дальше вы впринципе в любое время можете надавить кнопку «Раскрыть уязвимость» и она опубликуется на hackerone автоматически.
+2
С почином!
+7
Спасибо. Индусов и китайцев — тьма! Мы сейчас их количество на себе ощущаем) Это что-то нереальное.
У вас сколько полезных репортов в день от них?
У вас сколько полезных репортов в день от них?
0
Сначала будет очень тяжело — в первое время были десятки «мусорных» репортов в день. Сейчас довольно мало репортов вообще.
0
Особенно круто будет когда угрожать начнут раскрыть уязвимость и тогда нас задефейсят (через кликджекинг на статике). У нас даж с матом было) И даже Элопу писали) Много лулзов словите.
+1
У вас, да и не только у вас, существует одна очень серьезная уязвимость в секретных вопросах для восстановления пароля, не знаю, как сейчас, но раньше в списках стандартных вопросах были: «Девичья фамилия матери», «Почтовый индекс родителей» и т.д. Очевидно, что для злоумышленника в большинстве случаев не составляет никакого труда узнать эти данные, просто заглянув например в «Одноклассники». Круче только рамблер с его вопросами: «Ваше любимое число» и «Любимый цвет» — что угадывается на раз-два. Предлагаю отфильтровать пользователей с такими стандартными вопросами и предложить им поменять их.
0
Вознаграждение не выплачивается за информацию, полученную с помощью:
социальной инженерии
Прискорбно видеть, что социальная инженерия перестала рассматриваться как потенциальная брешь в безопасности компании, а ведь именно с помощью неё идет очень большое количество заражений вирусами, с помощью неё взламываются системы, где с технической точки зрения все защищено. И зачастую с помощью социальной инженерии проще получить нужные данные, чем искать уязвимости в конечном продукте.
+6
Вы правы. Но программа в первую очередь нацелена на повышение безопасности наших продуктов и пользователей, а социальная инженерия — это уже ближе к безопасности самой компании, её сотрудников и ей заняты совершенно другие люди. То же самое с физической безопасностью.
+2
>Потолка нет — размер награды будет зависеть только от критичности обнаруженной проблемы.
>1 место — 5 тыс. долларов
Итого к примеру возможно получить 10000 + бонус 5000?
>1 место — 5 тыс. долларов
Итого к примеру возможно получить 10000 + бонус 5000?
0
Ну хорошо, я отписал жду ответа. А кто будет тестировать и исправлять уязвимости? №8499 Обратите наконец внимание!
0
Спасибо за репорт! У нас сейчас вал репортов от братских народов(индусов и китайцев) :) Мы обязательно ответим на ваш репорт в течении 1-2 дней. В будущем, постараемся отвечать в течении нескольких часов.
0
Неожиданно даже
+3
Стараемся Егор)
Разбирал тут недавно твою багу с FB Oauth redirect_uri, и пытался проэксплуатировать пару приложений.
Правильно ли я понимаю, что все популярные прилады уже пофиксились в настройках?
Разбирал тут недавно твою багу с FB Oauth redirect_uri, и пытался проэксплуатировать пару приложений.
Правильно ли я понимаю, что все популярные прилады уже пофиксились в настройках?
0
Зря вы релизнулись на той платформе, от индусов у вас будет минимум полезных репортов, а потом еще куча ответов на них из разряда «Пачэму ета ни баааг??».
0
Мы верим в то, что братские народы — это временное явление)
А H1 нам понравился за то, что ребята берут на себя все обязательства перед security researcher-ами касаемые сроков и методов оплаты, принимают баги в удобной для нас и репортеров форме + исповедуют правильную, на наш взгляд, философию.
Я просто сам принимал участие в такого рода программах, и поэтому не хочу заставлять репортеров мучиться с почтовой перепиской, отсылать сканы паспортов, СНИЛС-ы и ждать оплаты по полгода :)
А H1 нам понравился за то, что ребята берут на себя все обязательства перед security researcher-ами касаемые сроков и методов оплаты, принимают баги в удобной для нас и репортеров форме + исповедуют правильную, на наш взгляд, философию.
Я просто сам принимал участие в такого рода программах, и поэтому не хочу заставлять репортеров мучиться с почтовой перепиской, отсылать сканы паспортов, СНИЛС-ы и ждать оплаты по полгода :)
0
Mail.ru — это и есть одна большая уязвимость.
-6
На русском писать можно?
0
Вопрос к пользователям хабрахабра, вот мне не верят, если в самом способе аутентификации пользователя есть баг и я могу залоснится любым пользователем и увести куки с любого сайта где есть авторизация через auth.mail.ru это баг со стороны сайта или со стороны mail.ru? Мне говорят, это фича ищите баг на нашем сервисе.
0
Ты же понимаешь что тебе не ответят на такой абстрактный вопрос?)
0
Надеюсь прецеденты есть о которых я не знаю? Да и взлом он всегда абстрактный и основан на догадках, для того он и взлом.
0
Ну, наверно, если сам модуль авторизации, в каком бы виде он не встраивался в сайт уязвим к тому, что позволяет авторизоваться на том конкретном сайте без знания пользовательских данных (как ты выразился — залогиниться под любым пользователем), то скорее всего бага присутствует, если конечно она не вызвана кривым использованием самого модуля авторизации. С другой стороны, формально, если это бага не на их поддомене-домене, то они могут и не принять. Опять же, я все это говорю, не зная что за бага и с чем ее едят, и есть ли она вообще.
0
Давайте обсудим прямо тут :) Хотя лучше бы в тикете
Судя по вашему репорту, а начинается он так: «Берем любой сервис где существует авторизация через соц. кнопку ищем xss в любой форме»,
Ваш вектор выглядит так:
1) Находим XSS на сервисе, где установлена кнопка авторизации при помощи Mail.Ru
2) Авторизуем пользователя на этом сайте при помощи кнопки авторизации и найденной XSS
3) Крадём куки уязвимого сервиса.
Вопрос, как это аффектит нас или наших пользователей?) Если я не прав, и у вас есть PoC — то велкам в тикет на HackerOne :)
Судя по вашему репорту, а начинается он так: «Берем любой сервис где существует авторизация через соц. кнопку ищем xss в любой форме»,
Ваш вектор выглядит так:
1) Находим XSS на сервисе, где установлена кнопка авторизации при помощи Mail.Ru
2) Авторизуем пользователя на этом сайте при помощи кнопки авторизации и найденной XSS
3) Крадём куки уязвимого сервиса.
Вопрос, как это аффектит нас или наших пользователей?) Если я не прав, и у вас есть PoC — то велкам в тикет на HackerOne :)
0
Если убрать кнопку, то и уязвимости не будет! Фишка в том, что если у меня в браузере есть куки с mail.ru то просто переходя куда угодно (где есть ваша кнопка) я могу сливать куки любых сайтов. Во главе пирамиды стоите вы! Значит и уязвимость ваша.
+1
О собственной безопасности вы начали заботиться, молодцы, а о безопасности пользователей когда начнёте заботиться? Когда прекратите на каждом шагу втюхивать свой троян «Спутник Mail.ru»? Хотя о чём это я?.. лемминги хавают.
-1
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Mail.Ru Group объявляет о старте программы поиска уязвимостей