Cross-Site Scripting на pass.yandex.ru
20:09 03.11.2012Як я вже писав в новинах, з кінця вересня Яндекс розпочав свою програму “Полювання за помилками” і почав платити за уразливості. Я вирішив перевірити, що саме представляє з себе ця програма.
В жовтні, 05.10.2012, я знайшов Cross-Site Scripting уразливість на сайті http://pass.yandex.ru. Про що повідомив Яндексу. А також я знайшов багато інших уразливостей, але вирішив вислати одну - для початку.
Останній раз стосовно проектів Яндекс я писав про уразливості на afisha.yandex.ru.
XSS:
http://pass.yandex.ru/login?retpath=http://yandex.ru%3C/script%3E%3Cscript%3Ealert(document.cookie)%3C/script%3EСкріншот:
Вже 06.10.2012, через пів доби після того, як я відправив їм листа, мені відповів представник компанії, що він не може відтворити дану уразливість (достатньо просту XSS, детальний опис якої я виклав у своєму листі, в тому числі кроки для відтворення). На що я їм написав, що ця XSS працює лише для залогінених користувачів, як вже зазначав у першому листі, та вислав їм скріншот (зроблений заздалегідь, бо я підозрював Яндекс у нечесності). Вже після відправлення цього листа, я перевірив цю дірку і виявив, що вона вже виправлена.
Після чого отримав відповідь від Яндекса, що мовляв цю дірку їм хтось інший повідомив раніше (ага, дірка висіла на сайті роками і ніхто її не знаходив до мене, і лише після мого повідомлення вона була виправлена). Тому вони мені її не зараховують. Зазначу, що представник компанії спочатку “не впізнав” уразливості та заявив, що нічого такого немає (бо не знав, що я зробив скріншот), і вже після отримання від мене скріншота, він “впізнав” її та почав розповідати нову історію. І на мою незгоду з такою позицією компанії, висловлену в наступному листі, вони не відповіли (тим самим закривши це питання).
Вся ця поведінка Яндекса не викликала в мене позитивних емоцій. Але щоб не робити висновки по одному інциденту я вирішив вислати компанії ще декілька інших уразливостей, щоб детально перевірити цю програму, розставити всі крапки над “і” та зробити фінальні висновки. Про які я напишу найближчим часом.
Неділя, 04:59 04.11.2012
Я таку ж історію мав з Фейсбуком
Неділя, 14:24 04.11.2012
Так же могу сказать про фейсбук, даже не отвечали ничего, не знаю кому они там что выплачивали, но пару раз прислал уязвимости и тишина)
Приват Банк тоже самое, но второй раз правда по честному заплатили)
Неділя, 21:09 04.11.2012
Дякую хлопці, що поділилися своїм досвідом. Компанії, що неначебто платять за уразливості, нерідко кидають секюріті спеціалістів, які їм висилають уразливості. Мав негативний досвід в 2006 році, тому з початку 2007 перестав приймати участь у баунті хантінгу і почав займатися лише секюріті аудитами і пентестами.
З тих пір до будь-яких “програм з винагородами” ставлюся підозріло і не маю з ними справи. Всі серйозні люди і компанії замовляють аудити або пентести, а не замилюють очі подібними програмами. Тому й поведінка Яндекса мене не здивувала, бо я очікував подібного.
Коли розставлю всі “крапки над і” стосовно Яндекса, то я напишу свій висновок про цю програму. Стосовно ж ПриватБанка, то минулого місяця я написав їм два листа в їхню програму. На перший не було відповіді, на другий прийшла відповідь, що обидва листи вони отримали і в найближчі тижні опрацюють ці уразливості. Так що чекаємо
.
Субота, 16:01 29.12.2012
Хлопці, стосовно ПриватБанка додам наступне. На відміну від Яндекса, що кинув мене в своїй програмі по пошуку уразливостей, ПБ все ж таки заплатив. В середині грудня повідомили про виплати, що мають відбутися до кінця місяця, а два дні тому прийшла оплата.
Так що з цих двох компаній ПриватБанк більш серйозний
.