Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: bounty

Wbił się do wewnętrznego panelu admina Google. Pomógł całkowity przypadek: awaria w dostawie prądu oraz specyficzne ustawienia na telefonie badacza…

19 stycznia 2023, 13:24 | Aktualności | komentarzy 5
Wbił się do wewnętrznego panelu admina Google. Pomógł całkowity przypadek: awaria w dostawie prądu oraz specyficzne ustawienia na telefonie badacza…

Ciekawa podatność, za którą Google wypłacił $13337. Jeśli wczytacie się w opis problemu, to w zasadzie… nie ma tam żadnego hackingu. Badacz zaczął od prób dobicia się (z poziomu Internetu) do pewnego adresu IP Googla, ale nieskutecznie. Na drodze stawał ekran logowania (Google Proxy). Żadna próba obejścia nie działała, a…

Czytaj dalej »

Pokazał jak prostym gif-em można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

01 grudnia 2020, 11:54 | W biegu | komentarze 2
Pokazał jak prostym gif-em  można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

Zerknijcie na tę podatność w serwisie basecamp.com. Upload gif-a (np. jako avatar) wydaje się być bezpieczny? Błąd ;-) Badacz stworzył wprawdzie plik z rozszerzeniem .gif, ale w jego treści umieścił postscript. I teraz serwer zaczął taki plik traktować jako plik postscriptowy (!): This is probably due to ImageMagick / GraphicsMagick…

Czytaj dalej »

Możliwość przejęcia sklepów na znanej platformie e-commerce – Shopify. Nagroda: ~85 000 PLN

03 września 2020, 12:26 | W biegu | komentarze 4
Możliwość przejęcia sklepów na znanej platformie e-commerce – Shopify. Nagroda: ~85 000 PLN

Wysokości nagród w ramach programów bug bounty bywają naprawdę różne. Ostatnio pisaliśmy o krytycznej podatności w Slacku, za którą wypłacono zaledwie $1750, co nieco wzburzyło środowisko researcherów. Tym razem mamy pozytywny przykład solidnego bounty ($22500). Opis podatności w Shopify może być momentami lekko niejasny (choć dostępny jest również film :)…

Czytaj dalej »

FBI oferuje właśnie prawie 20 000 000 PLN nagrody za wskazanie przestępcy będącego mózgiem cyberoperacji okradających konta bankowe

06 grudnia 2019, 10:46 | W biegu | komentarzy 7
FBI oferuje właśnie prawie 20 000 000 PLN nagrody za wskazanie przestępcy będącego mózgiem cyberoperacji okradających konta bankowe

Maksim Yakubets podejrzany jest o kierowanie „Evil Corp” (czy ktoś oglądał ostatnio Mr Robot?!). Jeśli ktoś zna Zeusa, Dridex czy Bugata – to właśnie produkty/malware ze stajni „Evil Corp”. Obecnie oferuje się nagrodę w wysokości $5 000 000 za wskazanie informacji prowadzących do aresztowania Maksima Jakubetsa. $100 000 000 szacowanych strat (głównie wynikających…

Czytaj dalej »

W styczniu 2019 Unia Europejska uruchamia bug bounty dla projektów Free/OpenSource

29 grudnia 2018, 11:29 | W biegu | komentarze 2

Cała pula do wypłaty to kilkaset tysięcy euro – a w programie uczestniczy kilkanaście projektów Free/OpenSource, z których korzystają kraje EU. Są tam m.in: Drupal, Putty, 7-zip, Tomcat, Notepad++ czy KeePass. Kryterium doboru było głosowanie, którego wyniki dostępne są tutaj (część projektów była już „maglowana” we wcześniejszych edycjach – np. serwer…

Czytaj dalej »

Miliard uśmiechów zabiło serwis Google

05 grudnia 2018, 16:00 | W biegu | 0 komentarzy

Wpis jednego z bugbounterów.  Billion laughs to jedna z klasycznych podatności typu DoS. Ten XML mówi sam za siebie ;) <?xml version=”1.0″?> <!DOCTYPE lolz [ <!ENTITY lol „lol”> <!ELEMENT lolz (#PCDATA)> <!ENTITY lol1 „&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;”> <!ENTITY lol2 „&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;”> <!ENTITY lol3 „&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;”> <!ENTITY lol4 „&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;”> <!ENTITY lol5 „&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;”> <!ENTITY lol6 „&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;”> <!ENTITY…

Czytaj dalej »