Tag: bug bounty

Nacierali na systemy Apple przez 3 miesiące. Zgarnęli przeszło ~1 000 000 PLN

09 października 2020, 08:39 | W biegu | komentarze 3
Nacierali na systemy Apple przez 3 miesiące. Zgarnęli przeszło ~1 000 000 PLN

Do maratonu przystąpiło pięciu zawodników. Czas: 3 miesiące. Cel: systemy firmy Apple dostępne z Internetu. Efekt? Zgłoszonych 55 podatności (w tym 11 krytycznych, 29 ważnych (kategoria: High)). Wypłata: $288 500 – w ramach oficjalnego programu bug bounty. Warto zaznaczyć, że Apple posiada ogromną klasę adresową 17.0.0.0/8 (to potencjalnie ponad 16 milionów…

Czytaj dalej »

Bezpłatna lekcja dla uczniów (i nie tylko) – jak zarabiać na bug bounty? Sztuczki i wprowadzenie od praktyków z sekuraka

22 września 2020, 08:03 | W biegu | 0 komentarzy
Bezpłatna lekcja dla uczniów (i nie tylko) – jak zarabiać na bug bounty? Sztuczki i wprowadzenie od praktyków z sekuraka

Po Waszych licznych prośbach uruchamiamy pierwsze (bezpłatne) szkolenie dla uczniów. Sugerowany wiek 14+ Do wyboru tematu zainspirowała nas świeża historia 14-latka z Brazylii, który niedawno otrzymał aż $25 000, za zgłoszenie pewnego buga do Facebooka. Są i młode osoby, które zarabiają jeszcze więcej – ten 19-letni Argentyńczyk otrzymał w sumie…

Czytaj dalej »

14-latek znalazł podatność Open Redirect w Instagramie. Facebook stwierdził, że jest to jednak XSS i wypłacił w ramach bounty ~100 000 PLN!

21 września 2020, 09:25 | W biegu | 0 komentarzy
14-latek znalazł podatność Open Redirect w Instagramie. Facebook stwierdził, że jest to jednak XSS i wypłacił w ramach bounty ~100 000 PLN!

Zazwyczaj firmy które prowadzą programy bug bounty starają się umniejszyć znaleziskom, w tym przypadku było jednak inaczej :) Zaczęło się od „zabawy” ze Spark AR Studio. W trakcie testów Andres Alonso, 14-latek z Brazylii, zmienił nazwę (file_name) na taką zawierającą cudzysłowy Spowodowało to pojawienie się w pewnym miejscu tagów <meta>…

Czytaj dalej »

Pokazał jak zdalnie przejąć całą flotę samochodów Tesli – otwieranie aut, startowanie silnika, lokalizowanie. Do tego root na każdym samochodzie. Nagroda: ~185 000 PLN

07 września 2020, 11:33 | Aktualności | komentarzy 10
Pokazał jak zdalnie przejąć całą flotę samochodów Tesli – otwieranie aut, startowanie silnika, lokalizowanie. Do tego root na każdym samochodzie. Nagroda: ~185 000 PLN

Opis całej serii podatności możecie znaleźć tutaj (sam raport jest z 2017 roku, ale dopiero niedawno został opublikowany). Za znaleziska wypłacono aż $50 000 w ramach programu robaczywych nagród (ang. bug bounty – pozdrowienia dla fanów ortodoksyjnych tłumaczeń :-) Zaczęło się od serwisu service.teslamotors.com, gdzie każdy może wykupić dostęp. Okazało się, że…

Czytaj dalej »

Zdobył ~50 000 PLN za zgłoszenie niewinnej podatności SSRF w Grafanie

08 sierpnia 2020, 13:40 | Aktualności | komentarze 4
Zdobył ~50 000 PLN za zgłoszenie niewinnej podatności SSRF w Grafanie

Z podatnością Server-Side Request Forgery (SSRF) bywa różnie – czasem właściciele systemu, który ma tę lukę wzruszają ramionami – niby brak impactu. Czasem jednak można otrzymać całkiem sowitą nagrodę i tak też było w tym przypadku. Przypomnijmy – SSRF to zmuszenie serwera (aplikacji) do wykonania żądania HTTP (lub innym protokołem)…

Czytaj dalej »

H1CTF – zwycięski raport Jakuba Żoczka z Sekuraka!

02 lipca 2020, 21:20 | ctf, Teksty | komentarzy 7
H1CTF – zwycięski raport Jakuba Żoczka z Sekuraka!

Wstęp: Jedna z najpopularniejszych platform Bug Bounty, Hackerone – w ramach promocji swojego wirtualnego eventu H12006 – uruchomiła konkurs w formule Capture The Flag. Nagrodą było zaproszenie na wspomniany ekskluzywny event oraz zaproszenia do prywatnych programów bug bounty. Co ciekawe, główną nagrodę otrzymywało się nie za najszybsze rozwiązanie zadania, a…

Czytaj dalej »

Dostał się do danych ~100 000 000 klientów Starbucksa. Dziurawa obsługa kart rabatowych dała mu $4000 nagrody :-)

22 czerwca 2020, 13:23 | W biegu | komentarze 2
Dostał się do danych ~100 000 000 klientów Starbucksa. Dziurawa obsługa kart rabatowych dała mu $4000 nagrody :-)

Ciekawe znalezisko w kontekście bezpieczeństwa API. Nieco zniecierpliwiony brakiem znalezisk w innym programie bug bounty, badacz postanowił sobie zrobić przerwę, a że były urodziny jego przyjaciela postanowił zakupić mu praktyczny prezent – kartę prezentową Starbucksa. Zakup zakupem, ale można trochę pogrzebać w żądaniach do API. Np. taki endpoint zwraca szczegóły…

Czytaj dalej »

„The Curious Case Of Copy & Paste” – czyli jak groźne może być wklejanie dowolnej treści ze schowka w przeglądarkach

15 czerwca 2020, 18:59 | Teksty | komentarzy 16
„The Curious Case Of Copy & Paste” – czyli jak groźne może być wklejanie dowolnej treści ze schowka w przeglądarkach

Ten artykuł jest podsumowaniem moich badań związanych z problemami bezpieczeństwa w obsłudze mechanizmu kopiuj-wklej w: przeglądarkach, popularnych edytorach WYSIWYG i aplikacjach webowych. Moim głównym celem jest pokazanie, że poniższy scenariusz ataku może sprawić, że będziemy narażeni na atak: Odwiedzamy złośliwie przygotowaną stronę. Kopiujemy coś z tej strony do schowka. Przechodzimy…

Czytaj dalej »

100 tys. USD nagrody za błąd w funkcji „Sign in with Apple”

31 maja 2020, 11:18 | Aktualności | komentarze 3
100 tys. USD nagrody za błąd w funkcji „Sign in with Apple”

„Sign in with Apple” to funkcja na urządzeniach Apple, która pozwala wykorzystać konto iCloud do uwierzytelnienia w innych aplikacjach. Od strony użytkownika działa na podobnej zasadzie jak – bardziej powszechne – „Zaloguj z kontem Google” czy „Zaloguj z Facebookiem”. Od strony technicznej, rozwiązanie opiera się o wygenerowanie tokenu JWT przez…

Czytaj dalej »

Błąd warty 300 000 PLN: możliwość nieautoryzowanego dostępu do kamery na iPhoneach/MacBookach (przez Safari)

02 kwietnia 2020, 21:09 | W biegu | 0 komentarzy
Błąd warty 300 000 PLN: możliwość nieautoryzowanego dostępu do kamery na iPhoneach/MacBookach (przez Safari)

Jak szybko zarobić 75 000 dolarów? Wystarczy znaleźć błąd pozwalający na nieautoryzowany dostęp do kamerki w Safari (zarówno na macOS, jak i iOS)! A właściwie nie jeden błąd, a serię siedmiu błędów, takich jak znalazł Ryan Pickren podczas analizy bezpieczeństwa modelu uprawnień do kamery. Trzy z tych błędów były potrzebne…

Czytaj dalej »

Tesla Model 3: przeglądasz w trakcie jazdy coś na panelu kontrolnym auta, a tu nagle freez całego interfejsu (DoS)!

23 marca 2020, 10:12 | W biegu | 1 komentarz
Tesla Model 3: przeglądasz w trakcie jazdy coś na panelu kontrolnym auta, a tu nagle freez całego interfejsu (DoS)!

Dzisiaj w serii #vulnz, ciekawy błąd (CVE-2020-10558) znaleziony ostatnio przez @Nuzzl2 w samochodzie Tesla Model 3. Krótko mówiąc: z poziomu ekranu w samochodzie można uruchomić przeglądarkę webową, którą podatna jest błąd typu DoS. W wyniku przejścia na specjalnie spreparowaną stronę internetową, możliwe było całkowite zajęcie zasobów procesora, w wyniku czego zablokowane były wszystkie…

Czytaj dalej »

Case study: błąd w wyrażeniu regularnym weryfikującym nazwę domeny w Google

18 marca 2020, 09:24 | W biegu | komentarze 2
Case study: błąd w wyrażeniu regularnym weryfikującym nazwę domeny w Google

W dzisiejszym odcinku z serii #vulnz omówimy ciekawy błąd znaleziony przez @xdavidhu (David Schütz) w pewnym wyrażeniu regularnym, które weryfikowało poprawność nazwy domeny w wielu usługach Google. Wszystko zaczęło się od tego, że David natrafił na stronę pod następującym adresem URL:

Dalej będziemy tę stronę nazywać henhouse (jak pierwsza część…

Czytaj dalej »