> даже очень мелкие баги иногда засчитываем за уязвимость
это конечно хорошо но это ваш выбор. За мелкие баги можно и не платить.
А вот за угон аккаунта/RCE/SQL injection 3-5к $ надо бы выкладывать. Можете вести лист с большими взломами и писать сколько кому заплатили для мотивации например.
>1. Получение frame location после редиректа. Позволяло получить те же самые результаты. После исправления скрипты с другого домена могут получить только тот location, который установили сами, а не полученный в результате редиректа.
Наверно это было очень давно? сейчас такой глупой ошибки по прочтению src после редиректа уже и не встретишь.
>2. Брутфорс посещенных ссылок через другой цвет. Исправили возвращая в JS всегда цвет непосещенной ссылки, независимо от ее текущего состояния.
Не совсем связано, вы например не вычислите ID по посещенным ссылкам.
Проблема в том что это может сломать текущие скрипты. Сейчас если в вконтакте какой то скрипт не подгрузился то страница сама об этом узнает и выдает сообщение об ошибке / перезагружается. Так это будет по сути «обман». Но другого способа я и не вижу.
> data:, URL как это сделали с похожим моим багом в XSS Auditor
Тут я не стал вдаваться в подробности, но суть была в том что мы шлем «банч» из 1000 разрешенных урлов 1...1000 и смотрим заблокировало или нет. Если заблокировало значит ищем дальше. Если загрузилось значит урл в нашем «банче» и мы его дробим дальше по 100. В общем виде это map-reduce bruteforce
Для ВК это тяжело по причине 100 миллионов айдишников. Если айди в пределах миллиона то можно перебрать. Для ФБ тоже, там лучше использовать готовый «пул» потенциальных вариантов. Скажем, из тысячи, быстро найдет кто вы.
Я и правда пиарюсь, чего уж там.
github.com/login/oauth/authorize?client_id=7e0a3cd836d3e544dbd9& redirect_uri=https%3A%2F%2Fgist.github.com%2Fauth%2Fgithub%2Fcallback/../../../homakov/8820324
это конечно хорошо но это ваш выбор. За мелкие баги можно и не платить.
А вот за угон аккаунта/RCE/SQL injection 3-5к $ надо бы выкладывать. Можете вести лист с большими взломами и писать сколько кому заплатили для мотивации например.
Наверно это было очень давно? сейчас такой глупой ошибки по прочтению src после редиректа уже и не встретишь.
>2. Брутфорс посещенных ссылок через другой цвет. Исправили возвращая в JS всегда цвет непосещенной ссылки, независимо от ее текущего состояния.
Не совсем связано, вы например не вычислите ID по посещенным ссылкам.
Проблема в том что это может сломать текущие скрипты. Сейчас если в вконтакте какой то скрипт не подгрузился то страница сама об этом узнает и выдает сообщение об ошибке / перезагружается. Так это будет по сути «обман». Но другого способа я и не вижу.
Тут я не стал вдаваться в подробности, но суть была в том что мы шлем «банч» из 1000 разрешенных урлов 1...1000 и смотрим заблокировало или нет. Если заблокировало значит ищем дальше. Если загрузилось значит урл в нашем «банче» и мы его дробим дальше по 100. В общем виде это map-reduce bruteforce