Uzyskał dostęp do kodu źródłowego Prezi, ale w nagrodę dostanie tylko firmowy kubeczek…

Pewien pentester z Australii postanowił ostatnio poświęcić dwie chwile na przetestowanie bezpieczeństwa systemów Prezi (dość popularne, komercyjne narzędzie do służące do tworzenia dynamicznych prezentacji).

Z racji że firma ta posiada program bug bounty, sprawa poza rozrywką może przynieść trochę pieniędzy :-)

Pentester zakasał zatem rękawy i po parogodzinnym szperaniu, zlokalizował repozytorium kodu źródłowego hostowane w infrastrukturze prezi. Problem w tym, że było ono zabezpieczone hasłem. Jednak po półtorej godzinie googlowania autor zlokalizował inne repozytorium, w którym dostępny był plik konfiguracyjny z użytkownikiem i hasłem w plaintext (!), które umożliwiły na dostęp do kodu źródłowego hostowanego w prezi.com:

nexusRepositoriesUrl=http://intra.prezi.com:8081/nexus/content/repositories
nexusUrl=http://intra.prezi.com:8081/nexus
nexusUser=deployment
nexusPassword=Iguangmd
org.gradle.daemon=true

Po zgłoszeniu problemu do teamu bezpieczeństwa Prezi, autor uzyskał potwierdzenie istnienia buga, jednak otrzymał również informację, że podatność ta nie kwalifikuje się do uzyskania nagrody w programie bug bounty.

Powód był prosty – mimo że bug bounty dotyczy testowania ich rozwiązań webowych – domena intra.prezi.com nie znajduje się w oficjalnym zakresie :P

Na pocieszenie zaproponowano wysyłkę firmowego kubka…

Pełny zapis wymiany maili z teamem Prezi można znaleźć tutaj.

PS
Z jednej strony oczywiście nie pochwalamy niezamówionych pentestów, z drugiej za zgłoszenie tej klasy buga autor mógł chyba liczyć na nieco więcej niż tylko firmowe reklamówki ;-)

–ms