Dostał się w kuriozalny sposób do wysoko uprawnionego konta pracownika serwisu HackerOne. Wypłacili nagrodę ~80 000 PLN

03 grudnia 2019, 21:15 | W biegu | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Zobaczcie błąd zatytułowany: „Account Takeover via Disclosed Session Cookie„. Otóż ktoś z pracowników HackerOne (posiadający dostęp do m.in. wszystkich raportów podatności zgłaszanych w serwisie) rozmawiał z pewnym bugbounterem. Wystąpiły pewne problemy z replikacją błędu, więc bugbounter poprosił o wykonanie pewnych żądań HTTP i przesłanie wyniku. Pracownik to zrealizował, ale wkleił trochę za dużo:

On November 24, 2019, a Security Analyst tried to reproduce a submission to HackerOne’s program, which failed. The Security Analyst replied to the hacker, accidentally including one of their own valid session cookies. In this particular case, parts of a cURL command, copied from a browser console, were not removed before posting it to the report, disclosing the session cookie.

Czyli w skrócie któryś pracowników wkleił w odpowiedzi m.in. swoje ciastko sesyjne. Konto zostało przejęte, game over. Tzn nie game over – bo za zgłoszenie tego problemu badacz otrzymał $20 000. Można teraz się zastanawiać czy był to przypadek, czy ktoś w pewien podstępny sposób nakłonił pracownika do wklejenia ciasteczka…

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Piotr

    Czyżby jednak socjotechnika nadal wiecznie żywa?

    Odpowiedz
  2. tmk

    A sesja nie powinna być powiązana z czymś więcej niż ciasteczkiem sesyjnym? Np. user-agent przeglądarki, nagłówek accept-language?

    Odpowiedz
    • Fingerprinting? Warto poczytać :)

      Odpowiedz
  3. John Sharkrat

    Trzeba być ciężkim frajerem, aby wypłacać sobie nagrodę w złotówkach.

    Odpowiedz

Odpowiedz