Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Możliwość przejęcia sklepów na znanej platformie e-commerce – Shopify. Nagroda: ~85 000 PLN
Wysokości nagród w ramach programów bug bounty bywają naprawdę różne. Ostatnio pisaliśmy o krytycznej podatności w Slacku, za którą wypłacono zaledwie $1750, co nieco wzburzyło środowisko researcherów. Tym razem mamy pozytywny przykład solidnego bounty ($22500). Opis podatności w Shopify może być momentami lekko niejasny (choć dostępny jest również film :)
W pewnym skrócie, całość sprowadza się do następujących punktów:
- Stworzenie swojego sklepu (z własnym emailem – jako loginem)
- Przeedytowanie w module POS (Point Of Sale) maila i tutaj wskazania adresu e-mail ofiary (tj. loginu sklepu, który chcemy przejąć). Co ciekawe w tym momencie shopify nie wymagał potwierdzenia, że posiadam tego maila. Efekt jest taki, że mamy niejako dwa e-maile przypisane do konta (główny, oraz właśnie w module POS)
- Skonfigurowanie tzw. Shopify ID, czyli jednego e-maila i hasła umożliwiającego logowanie się do sklepów (czy ogólnie zasobów), którymi zarządzam.
- W tym momencie Shopify widział, że mam przypisane do konta dwa różne emaile (loginy), więc sprawdzał jakimi sklepami te loginy są w stanie zarządzać, a następnie przyznawał do nich uprawnienia. Efekt osiągnięty, atakujący ma dostęp do zarządzania cudzym sklepem.
–ms
*Badaczy
Dalej: bounty – nagroda chociażby. Ech :(
Odnośnie bug bounty: najlepiej – bagowa nagroda ;) Albo jeszcze lepiej >>dziurawa<< nagroda ;-)
* nagroda robaka