Tag: hackerone

Serwis dla hackerów: hackerone - można było wypłacać dowolną liczbę pieniędzy za "wykonanie retestu"

04 stycznia 2019, 11:52 | W biegu | komentarzy 5

Ciekawa podatność w hackerone zgłoszona za pomocą serwisu hackerone :P We wspomnianym serwisie, jeśli ktoś znalazł i zgłosił podatność, to poza standardową wypłatą może otrzymać również dodatkowe pieniądze za wykonanie retestu (tj. za sprawdzenie czy podatność została poprawnie załatana). W przypadku jednego requestu HTTP obsługującego proces, możliwe było jego ponowne...

Czytaj dalej »

Hacker pokazał jak można zhackować serwis dla hackerów (SQLi w hackerone.com).

06 grudnia 2018, 18:48 | W biegu | komentarze 4

SQL injection to podatność stara jak SQL i cały czas popularna jak smog w Polsce. Tutaj ciekawy przykład SQLi w serwisie hackerone (krytyczność: 10/10 w skali CVSS). Podatność istniała w zapytaniu GraphQL:

Jak widać, wielkiej finezji tu nie ma. Podatne miejsce to (jeszcze raz): embedded_submission_form_uuid=1';SELECT 1 SELECT pg_sleep(5);-- Działa tutaj średnik, który zamyka...

Czytaj dalej »