-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Uzyskał dostęp do kodu źródłowego Prezi, ale w nagrodę dostanie tylko firmowy kubeczek…

03 grudnia 2013, 16:54 | W biegu | komentarzy 7

Pewien pentester z Australii postanowił ostatnio poświęcić dwie chwile na przetestowanie bezpieczeństwa systemów Prezi (dość popularne, komercyjne narzędzie do służące do tworzenia dynamicznych prezentacji).

Z racji że firma ta posiada program bug bounty, sprawa poza rozrywką może przynieść trochę pieniędzy :-)

Pentester zakasał zatem rękawy i po parogodzinnym szperaniu, zlokalizował repozytorium kodu źródłowego hostowane w infrastrukturze prezi. Problem w tym, że było ono zabezpieczone hasłem. Jednak po półtorej godzinie googlowania autor zlokalizował inne repozytorium, w którym dostępny był plik konfiguracyjny z użytkownikiem i hasłem w plaintext (!), które umożliwiły na dostęp do kodu źródłowego hostowanego w prezi.com:

nexusRepositoriesUrl=http://intra.prezi.com:8081/nexus/content/repositories
nexusUrl=http://intra.prezi.com:8081/nexus
nexusUser=deployment
nexusPassword=Iguangmd
org.gradle.daemon=true

Po zgłoszeniu problemu do teamu bezpieczeństwa Prezi, autor uzyskał potwierdzenie istnienia buga, jednak otrzymał również informację, że podatność ta nie kwalifikuje się do uzyskania nagrody w programie bug bounty.

Powód był prosty – mimo że bug bounty dotyczy testowania ich rozwiązań webowych – domena intra.prezi.com nie znajduje się w oficjalnym zakresie :P

Na pocieszenie zaproponowano wysyłkę firmowego kubka…

Pełny zapis wymiany maili z teamem Prezi można znaleźć tutaj.

PS
Z jednej strony oczywiście nie pochwalamy niezamówionych pentestów, z drugiej za zgłoszenie tej klasy buga autor mógł chyba liczyć na nieco więcej niż tylko firmowe reklamówki ;-)

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. wtq

    Sprzeda kod źródłowy konkurencyjnej firmie i swoje zarobi ;)

    Odpowiedz
    • gdyby nie to, można by pomyśleć że to zaplanowana akcja prezi – w końcu dzięki takiemu failowi sporo ludzi dowie się o ich sofcie :P

      Odpowiedz
  2. 26 milionów zarejestrowanych użytkowników PREZI. Nie wiem ile z nich ma wersję płatną. Ja płaciłem 500 zł/rok. Zespół PREZI biedny na pewno nie jest.

    Na pewno nie zrobili sobie dobrego PR. A okazja była fantastyczna. Szkoda. Jakiś niesmak pozostaje.

    Odpowiedz
  3. Niechby te 26 milionów użytkowników zrzuciłoby się po jednym cencie… gość by miał fundusze na dalszy rozwój ;)
    Wstyd, PREZI.

    Odpowiedz
  4. młody

    Ciekawi mnie jak wyklaruje się sytuacja z wyciekiem kodu źródłowego Adobe Photoshopa ;))

    Może powstanie odpowiednik z otwartym kodem źródłowym na Linuxa ;)

    Odpowiedz
  5. Ale lipa… kasy im nie brakuje i taki poor PR sobie robić ;)

    Odpowiedz
  6. Niestety sami sobie robią zły PR. FB nie jest lepszy… A może to MEGA kubek? :)

    Odpowiedz

Odpowiedz