Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Można było hurtem pobierać CV z Linkedin (również CV uploadowane przez rekruterów). Najbardziej banalna podatność z możliwych…
W tym miejscu możecie poczytać o szczegółach podatności znalezionej w ramach programu bug bounty LinkedIna:
Unauthorized access to resumes stored on Linkedin [resumes – czyli CV – przyp. sekurak]
Podatność jest klasy IDOR (insecure direct object references), czyli po ludzku można było wykonać mniej więcej coś takiego:
linkedin.com/api/v4/download_resume?id=827387 oraz iterować po kolejnych numerach. Linkedin nie sprawdzał czy mamy uprawnienia do podanego pliku:
Because of the discovered vulnerability the attacker had a possibility to iterate file IDs and get access to resumes of applicants who either apply to different LinkedIn job posts (case 1) or resumes of professionals which were uploaded to LinkedIn by recruiters (case 2 – without actual candidate application).
Warto również podkreślić, że podatność została „przypadkowo wprowadzona” w update z późnego października 2022. W skrócie – pamiętajcie, że czasem niewielka zmiana w aplikacji może być wielką zmianą w jej bezpieczeństwie…
Za znalezisko wypłacono $5000 nagrody, luka została załatana w 24h od zgłoszenia, a wewnętrzne dochodzenie „nie znalazło dowodów na złośliwe wykorzystanie tej podatności” przez postronne osoby.
~Michał Sajdak
5k za taką podatność, symbolicznie powiedział bym:D
w takim Cloudflare płacą nawet mniej – $3000 za CRITICALa: https://blog.cloudflare.com/cloudflare-bug-bounty-program/
Zależy czy używali UUIDv4 do identyfikacji CV, bo jełśi tak to bardziej low/mid niż critical
Sami oznaczyli to jako „High”, raczej nie używali (jest wprost mowa o możliwości przeiterowania IDka)
Czytaj ze zrozumieniem przyjacielu ;)
Czytam, po prostu zrozumiałem to tak że ten przykład „linkedin.com/api/v4/download_resume?id=827387” tylko obrazuje problem, a nie przedstawia dokładnie reprodukcję podatności i stąd moje wątpliwości.
tak