Serwis dla hackerów: hackerone – można było wypłacać dowolną liczbę pieniędzy za „wykonanie retestu”

04 stycznia 2019, 11:52 | W biegu | komentarzy 5
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Ciekawa podatność w hackerone zgłoszona za pomocą serwisu hackerone :P

We wspomnianym serwisie, jeśli ktoś znalazł i zgłosił podatność, to poza standardową wypłatą może otrzymać również dodatkowe pieniądze za wykonanie retestu (tj. za sprawdzenie czy podatność została poprawnie załatana). W przypadku jednego requestu HTTP obsługującego proces, możliwe było jego ponowne wysłanie do serwera i dostawaliśmy zamiast jednej wypłaty – dwie. Całość dodatkowo można było multiplikować:

This allows an attacker to exploit the retesting feature to steal many times more money. Given that this went unnoticed by both the attacker and HackerOne for over 2 weeks, this has the potential to be exploited multiple times to steal money from HackerOne.

Za zgłoszenie problemu wypłacono $2500 – $500 (zostały one „wykradzione” wskazaną podatnością) + $100 (za normalny retest) = $2100.

Podatność została sklasyfikowana jako race condition, która jest przez część osób uznawana jako „niemożliwa do wykorzystania” ;))

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dżef

    dla badaczy panowie badaczy !

    Odpowiedz
    • Jeff

      Powiedzmy sobie ze na portalach typu hackerone malo kiedy siedzi rdzenny badac a raczej ktos kto chce sie czegos nauczyc, pocwiczyc, wdrozyc sie w pentesty. Nie nazywalbym ich badaczami. Oni sa w innym miejscu ;)

      Odpowiedz
      • Dżefff

        Naukowcy !
        Deprecjonowanie określenia haker, stało się modne po tym jak środowisko zapełnili absolwenci politechnik, czy coś przegapiłem ?
        Słyszałem z ust znajomego z jakieś pracy taką teorię że hakerzy są niechlujni i on sobie nie życzy aby określano go hakerem.
        Zacząłem się zastanawiać skąd to się wzięło, co ma taki wpływ na ludzi że deprecjonują hakeróf.
        Misię wydaje, że haker to ktoś kto ma drobiazgową wiedzę o systemach, aplikacjach etc. Na przykład może ci powiedzieć który menadżer pamięci dynamicznej obsłuży dane żądanie patrząc wyłącznie w zawartość danych.
        Chociaż w sumie to wszystko jest trochę śmieszne.
        Kiedyś mieli taką samą jazdę z krakerami i hakerami teraz wymyśli sobie badaczy i złośniki.

        Odpowiedz
        • JogurtBananowy

          Twoj obraz hacker to czasy mlodego Mitnicka, juz takich ludzi nie ma. Teraz kazdy jest hakerem, kazdy pentesterem, kazdy specem od bezpieczenstwa ale tylko jak ma google. Coraz mniej est w glowie.
          @Michal co uwazasz…?

          Odpowiedz
          • Krzysztof Kozłowski

            weź pod uwagę że kiedyś można było mieć całą wiedzę w głowie a teraz musiałbyś mieć w niej całe google ;)

Odpowiedz