Paypal с неохотой выплатил вознаграждение за серьёзный баг
21 июня 2012 года Paypal присоединился к числу компаний, которые платят хакерам за найденные уязвимости. Учитывая характер веб-сервиса Paypal — финансовые транзакции — можно было предположить, что они более внимательно отнесутся к найденным багам, чем какой-нибудь Google, и предложат бóльшую награду за уязвимости. На практике всё оказалось иначе.
Хакер из l8security рассказал увлекательную историю в скриншотах, как он искал уязвимость в Paypal. Традиционно, такая работа начинается в хакерском поисковике shodanhq.com с логичного запроса “admin paypal”. Среди результатов поиска он увидел URL’ы с содержанием stageXmbXXX
. Это явное указание на то, что staging netbloc у Paypal публично доступен. Дело точно пахло керосином. Вооружившись Хакбаром для Firefox, автор начал пробовать разные логины для авторизации. Например, как видно на скриншоте, при авторизации под логином lsmith
система распознала его как Lori Smith
.
Небольшой поиск Google позволил найти подробнейшую информацию об этой админской панели, включая юридический документ со скриншотами (pdf).
Стало ясно, что тут не просто XSS, а серьёзная дыра, и за неё Paypal может заплатить больше стандартных $500. которые дают за XSS.
Хакер составил отчёт 29 июня и хотел отправить его в Paypal, но оказалось, что PGP-ключ Paypal опубликован с истёкшим сроком действия. Так что пришлось писать в компанию с просьбой выслать новый ключ. Через неделю они выслали его персонально, так что 5 июля хакер смог подписать и отправить отчёт. 19 июля он получил автоматическое сообщение о получении письма. 7 августа — ещё одно автоматическое сообщение о том, что делу присвоен статус “invalid” и оно закрыто. Хакер немедленно написал в Paypal с вопросом, может ли он теперь опубликовать отчёт об уязвимости в своём блоге? На следующий день ему быстро прислали ответ, что дело было закрыто, потому что исследователь не смог повторить описанную процедуру, а дело просто переклассифицировали в другую категорию. Наконец, 21 августа пришло не автоматическое, а вручную написанное письмо от человека, который признал наличие уязвимости и пообещал выплатить вознаграждение после того, как её закроют. 29 августа наконец-то пришёл перевод за «уязвимость XSS».
В итоге, хакер остался крайне недоволен сотрудничеством с Paypal и не рекомендует коллегам иметь дело с этой компанией.
Подробнее: http://www.xakep.ru/post/59506/default.asp
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-04-17 » 23 сервиса для эффективного экспресс-аудита любого сайта
- 2024-04-08 » Яндекс переходит на новую версию Wordstat
- 2024-04-08 » Яндекс интегрировал в свой облачный сервис эмпатичную нейросеть
- 2024-04-08 » Новая версия нейросети Claude превзошла по мощности аналоги Google и OpenAI
- 2024-04-08 » Как пользоваться GPT 4 и Claude бесплатно и без VPN
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
- 2024-01-25 » Переменные Gitlab-Ci
- 2024-01-25 » Настройка CI/CD в GitLab для синхронизации проекта с веб-серверами
- 2024-01-25 » Копирование файлов scp
- 2024-01-21 » Бездепозитные бонусы от казино: обзор условий и правил использования
- 2024-01-18 » Современная обработка ошибок в PHP
- 2024-01-18 » Пример шаблона проектирования MVC в PHP
Есть три способа отвечать на вопросы: сказать необходимое, отвечать с приветливостью и – наговорить лишнего Плутарх - (ок. 46 — ок.120) - древнегреческий писатель, историк |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.