Tag: bounty

Pokazał jak prostym gif-em można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

01 grudnia 2020, 11:54 | W biegu | komentarze 2
Pokazał jak prostym gif-em  można w nieautoryzowany sposób dostać się na serwer. Nagroda: ~20 000 PLN

Zerknijcie na tę podatność w serwisie basecamp.com. Upload gif-a (np. jako avatar) wydaje się być bezpieczny? Błąd ;-) Badacz stworzył wprawdzie plik z rozszerzeniem .gif, ale w jego treści umieścił postscript. I teraz serwer zaczął taki plik traktować jako plik postscriptowy (!): This is probably due to ImageMagick / GraphicsMagick…

Czytaj dalej »

Możliwość przejęcia sklepów na znanej platformie e-commerce – Shopify. Nagroda: ~85 000 PLN

03 września 2020, 12:26 | W biegu | komentarze 4
Możliwość przejęcia sklepów na znanej platformie e-commerce – Shopify. Nagroda: ~85 000 PLN

Wysokości nagród w ramach programów bug bounty bywają naprawdę różne. Ostatnio pisaliśmy o krytycznej podatności w Slacku, za którą wypłacono zaledwie $1750, co nieco wzburzyło środowisko researcherów. Tym razem mamy pozytywny przykład solidnego bounty ($22500). Opis podatności w Shopify może być momentami lekko niejasny (choć dostępny jest również film :)…

Czytaj dalej »

FBI oferuje właśnie prawie 20 000 000 PLN nagrody za wskazanie przestępcy będącego mózgiem cyberoperacji okradających konta bankowe

06 grudnia 2019, 10:46 | W biegu | komentarzy 7
FBI oferuje właśnie prawie 20 000 000 PLN nagrody za wskazanie przestępcy będącego mózgiem cyberoperacji okradających konta bankowe

Maksim Yakubets podejrzany jest o kierowanie „Evil Corp” (czy ktoś oglądał ostatnio Mr Robot?!). Jeśli ktoś zna Zeusa, Dridex czy Bugata – to właśnie produkty/malware ze stajni „Evil Corp”. Obecnie oferuje się nagrodę w wysokości $5 000 000 za wskazanie informacji prowadzących do aresztowania Maksima Jakubetsa. $100 000 000 szacowanych strat (głównie wynikających…

Czytaj dalej »

W styczniu 2019 Unia Europejska uruchamia bug bounty dla projektów Free/OpenSource

29 grudnia 2018, 11:29 | W biegu | komentarze 2

Cała pula do wypłaty to kilkaset tysięcy euro – a w programie uczestniczy kilkanaście projektów Free/OpenSource, z których korzystają kraje EU. Są tam m.in: Drupal, Putty, 7-zip, Tomcat, Notepad++ czy KeePass. Kryterium doboru było głosowanie, którego wyniki dostępne są tutaj (część projektów była już „maglowana” we wcześniejszych edycjach – np. serwer…

Czytaj dalej »

Miliard uśmiechów zabiło serwis Google

05 grudnia 2018, 16:00 | W biegu | 0 komentarzy

Wpis jednego z bugbounterów.  Billion laughs to jedna z klasycznych podatności typu DoS. Ten XML mówi sam za siebie ;)

Kilkaset bajtów i mamy miliard lol-i w pamięci. Autor badania znalazł możliwość importu XML-i w serwisie sites.google.com i spróbował zaimportować XML-a jak powyżej. Efekt? Odpowiedź od Google (+ przyznanie…

Czytaj dalej »