Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Wyciągnął dane hackerów z serwisu dla hackerów. Nagroda: $20 000

08 lutego 2019, 09:29 | W biegu | 0 komentarzy
Tagi:

W złożonych systemach dość trudno zadbać o stosowną kontrolę dostępu do danych (bardziej po ludzku – o implementację uprawnień). Taki problem wydarzył się niedawno w serwisie hackerone:

Confidential data of users and limited metadata of programs and reports accessible via GraphQL.

Czyli stosownym zapytaniem GraphQL można było pobrać w sposób nieautoryzowany sporą liczbę danych osobowych (i technicznych) użytkowników serwisu + podstawowe metadane o raportach (które np. nie miały zgody na publikację).

Podatność została załatana w raptem 2 godziny po jej potwierdzeniu, a zgłaszający otrzymał sowitą nagrodę $20 000. Warto zaznaczyć, że to już kolejny „critical” w hackerone (niedawno pisaliśmy o SQL injection). Na pewno trzeba docenić otwartość twórców platformy, bo upublicznienie raportów zależało od ich dobrej woli.

–ms

 

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz