PHP fwdays conference — Creator of PHPUnit, JetBrains, Yii & more, Kyiv | Online

XSS на prom.ua

Мною была обнаружена XSS на портале prom.ua, tiu.ru и deal.by, и я пообщался по этому поводу с разработчиком и тестировщиком этого портала, Алексеем Мальцевым и Иваном Портным. Попросил баунти в размере 200 у.е., в замен на репорт. Естественно никакой предоплаты, все после проверки репортов. Алексей попросил репорт, и потом начал откровенно лгать, что XSS вообще не существует. И о чудо, сегодня ее действительно пофиксили, а меня отправили в игнор.

Если это будет интересно, вот репорт — www.sendspace.com/file/sgu4hp

Почтовая переписка pastie.org/...te/amy6uxif5uvgvgsjkazeww

В репорте упоминается уязвимый сайт на площадке prom.ua — k2-cs1376712.tiu.ru — я его успел зарепортить на xssposed.org — www.xssposed.org/incidents/72322 — что служит просто доказательством существующей уязвимости до сегодняшнего утра.

Я так понимаю, что поиск багов такого плана у Алексея в должностных обязанностях, он просто не захотел краснеть перед руководством, и решил умолчать. А может не умолчать, а выбить себе премию у руководства? Если такое баунти противоречит правилам компании, достаточно было бы просто благодарности. С моей точки зрения — отдел тестировщиков тратит в месяц намного больше денег себе на з\п и прочий софт для тестирования, чем я попросил.

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Закончилось все экскурсией в офис prom.ua
Офис классный. Краткий репортаж и фото обзор я разместил в новой теме dou.ua/forums/topic/14798

Итого, как решилась данная ситуация:

Итого, как решилась данная ситуация:
десь тут мало бути продовження :))

Об уязвимости мы знали. И ранее даже она была закрыта. Но скорее всего после очередного рефакторинга, мы этот момент упустили. 



Оперативно ответить не получалось, так как у нас первый такой случай. Такие вопросы, как вознаграждение сторонних разработчиков за помощь в вопросах безопасности продукта, у нас ранее не поднимались. Соответсвенно, необходимо было время, чтобы согласовать, как действовать в подобных ситуациях и подтвердить все выплаты у бухгалтерии. Тем не менее, я сразу же написал о том, что вознаграждение за помощь это справедливо и правильно, и что я организую процесс согласования подобных выплат. 


Позиция нашей компании такая, что лучше чтобы все шли с проблемами безопасности к нам, а не на хакерские форумы. Спасибо, James brown, за помощь.

В течении недели перечислим вам вознаграждение, а также хотели бы вам подарить сертификат на книги интернет-магазина kniga.biz.ua

У вас там хватает xss-ок — я навскидку нашел еще одну=)Багбаунти еще в силе?=)

Попроси автора и/или администрацию ДОУ либо отредактировать топик (включая заголовок), либо выпилить тему к монахам.

наверное зря вы написали что будете выплачивать вознаграждение, теперь вас будут часто взламывать )))

Ничего страшного. Это поднимет нашу квалификацию :)

Ух ты, как далеко шагнул дырявость прогресс браузера! Если найдете похожие уязвимости на ДОУ, напишите пожалуйста Сергею, cb@dou.ua. $200 заплатим. :-)

Я у него спрашивал, сказал что финансовое вознаграждение не предусмотрено.
Но раз Вы говорите что заплатите, тогда я сейчас отправлю репорт)

сказал что финансовое вознаграждение не предусмотрено.
походу це змінилось 3 години назад :))

— Папа, ты мне обещал в зоопарк сходить...!
— Папа обещал — папа сходил...

АКА Сергію $200 вже виплатили? :))

Ні, мною «вознаграждение не предусмотрено», Максом — предусмотрено :)

Максим я у вас тут небольшую xss-ку нашарил, вдохновившись данным топиком=)

Ем, стаємо в чергу. Мабуть я вже відправив репорта)

При переході на Вашу сторінку вже видно результат ;)

Трохи не зрозумів про що Ви)
Щойно відправив другий репорт)

Я відписував Михайлу))

походу одинаковые) Кого же выберет DOU? :)

предположительно того кто первый репорт отправил=)

Я не збирався продавать цю вразливість на хакерських форумах. Недоговореного нічого немає. Єдине, про що я не висвітлив в темі — я вчора телефонував Івану Портнову з приводу інцинденту, але Він зіславшись на брак свого часу порекомендував зателефонувати йому в понеділок. Раніше телефонних розмов з ним я не мав

Совершенно верно именно так и было.

К сожалению когда вы звонили в выходные я не знал актуальной информации по решению этого вопроса. Мне нужно было уточнить актуальный статус у команды.

В этом же нет ничего критичного, что мы перенесли уточнение вопроса на будние дни?

Мабуть фріланс також ігнорував багрепорти

По личному опыту скажу — это не эффективный подход, просить оплатить вознаграждение за найденную уязвимость по факту или предлагать свои услуги всем, у кого что-то нашел. Много неадекватных владельцев и руководителей сервисов. Куда более эффективно искать там, где есть программа поощрений. Так и получать доходы от своей работы можно на регулярной основе, тратя минимум усилий на коммуникации. Иначе подобные конфликтные ситуации у Вас будут постоянно.

Есть вариант просто торгануть эксплойтом. В случае prom.ua эксплойт мог быть ну охренительно крутым.

Простой пример: товары по-умолчанию сортируются по популярности. Накрутив эту популярность, можно было ну очень долго и бесплатно держать фирму в топе. А ещё — накинуть ей репутации.

Так что ЗА ЭТУ дырку он ещё мало попросил. Заработать на уязвимости мог явно круче.

И ещё мелочь — если кто-то нароет ЕЩЁ ОДНУ дырочку, и прежде чем отпостить погуглит — найдёт этот топик, и не станет поступать опрометчиво. А оттрахает платформу по-полной, и так что никто нихъена не докажет.

Не сочтите за подколки, или что-то подобное, просто интересно:
«ЭТА ДЫРКА», как Вы выразились — reflected XSS, не позволяющая получить доступ к auth-cookie или чему-то более-менее значимому(тем более она http-only, и привязана к суб-домену my.*). Все внутренние ajax-ы идут через тот же суб-домен.

Так вот, что можно с ней сделать такого значимого, что могло бы считаться за «оттрах платформы»?

P.S. предвещая вопросы, не раз уже здесь проскакивавшие — представляю сугубо свою личную позицию, а не Prom.ua :)

Тобто ви визнаєте, що проблема була, хоч і ваш колега (Andrew Ursulenko) в цьому сумнівається.

Тобто ви (Prom.ua) таки не заплатили, хоч і обіцяли, за репорт, який отримали.

Тобто ви (Prom.ua)
Dmitriy Sadkovoy junior python developer
не, ну справді, ототожнювати особу найманого джуніор девелопера з позицією компанії, і тих хто справді рулить потоками бабла — то якось занадто...
не, ну справді, ототожнювати особу найманого джуніор девелопера з позицією компанії, і тих хто справді рулить потоками бабла — то якось занадто...

Це була Ваша особиста позиція, чи позиція всіх .NET-девелоперів світу?

це позиція одного добре ізольованого індивіда, ніяк не причасного до прома і конкретної проблеми... але з підходу включеного мозку, реально дивним виглядає настільки масова підтримка чергового «ображеного вбросу» акаунта однодневки (жодної відповіді з створення топіку, хоч мейли за кожну відповідь падають в інбокс.).
чи був репорт, чи була проблема, чи дискусія йшла саме так? навіть припустивши що все було саме так як в описі — чи ми автоматично погоджуємся з судженням автора про рівень загрози та реальну ціну питання?
як не дивно, відповідь на всі питання — хз, і тут треба намагатись це все вияснити сперше, а не починати кидатись какашками.
імхо, різниця з топіком про джона(?) з німеччини кардинальна, і рано приймати висновки та думати про шкоду кармі одним чи іншим.

Не сочтите за подколки, но откуда Вы знаете, что я ничего кроме пасивки не нарыл

Этой пассивки более чем достаточно, чтобы запилить какой-нить попап, и убедить юзера заинсталлить расширение в браузер. Оно может быть даже полезным — выпиливать тошнотворную рекламу в самом тошнотворном месте.

Но при этом тихо и без лишней суеты выполнять нужные задачи, получаемые с твоего сервера, и продаваемые потом компаниям как сервис.

При этом всё легально. Ты — владелец расширения, установленного добровольно с сайта. Ни про какой скрипт знать не знаешь. Что рекламу выпиливает — так это неправда, просто переносит в более удобное для пользователя место в конце списка, и это настраивается (угадай какой мизер пользователей пойдёт в настройки расширению, которое сидит незаметно).

А ещё расширение по-умолчанию участвует в какой-либо «программе качества» или ещё какой ахинее, за которой стоит хождение по нужным ссылкам, а то и выдача в передовые результаты поиска нужного счастья по ключевым словам, да ещё и с золотой рамочкой «пять звёзд».

Правильный url: www.xssposed.org/incidents/72322 (добавить слеш в конце который видно убирается нормализатором ссылок на форуме) (наверное стоит исправить в основном тексте)

Я честно говоря, крайне сомневаюсь, что таковая уязвимость вообще существовала. Все же это очень очевидная штука и у нас есть люди, которые такие вещи по несколько раз на дню тестируют. Плюс, как уже писали выше, по репорту — 404.
И, зная Алексея лично достаточно хорошо, не станет он переживать по поводу, как вы говорите, «краснения» перед руководством и умалчивания таких серьезных уязвимостей.
А кто вы собственно такой? А то что-то акк в фейсбуке у вас больно пустой.

Любопытно, вы здесь представляете официальную позицию Пром.УА?

Я отвечаю сугубо за себя и представляю только свою «официальную позицию»)

А кто вы собственно такой? А то что-то акк в фейсбуке у вас больно пустой.
Вы и правду не понимаете что ваш коммент понизил карму Прому в десятки раз больше чем этот топик?
крайне сомневаюсь, что таковая уязвимость вообще существовала.
ну тут з усіх присутніх у вас найбільше можливостей це перевірити — залізти в сорси і подивитись історію комітів :))
а далі або чесно підтвердити наявність фікса в певний момент, або перестати сумніватись (хоч не факт що тут вам повірять.)

Фикс был. Почему не заплатили — возможно посчитали сумму слишком большой для данной уязвимости, возможно не стали разбираться, возможно автор что-то не договаривает, тут я не собираюсь вообще ничего утверждать — не в компетенции.
Как-то странно получилось, блин, возможно там не все так просто, не берусь судить. Автору спасибо за баг, советую еще раз обратиться к ребятам, с этим должны что-то решить.

Последнюю зарплату Prom.ua так же платит?

— Я вообще сомневаюсь, что этот чувак у нас работал, а начальника Х знаю достаточно хорошо, он не станет зажимать две штуки баксов бывшему работнику. Да и вообще топик стартер какой-то подозрительный анон с пустым профилем.

(через 10 часов)

— Да, чувак у нас работал и делал комиты. Возможно, посчитали последнюю ЗП сильно бобьшой суммой, возможно, не стали разбираться, возможно автор что-то не договаривает.
Как ни странно получилось, блин, возможно там не все так просто, не берусь судить. Автору спасибо за работу, советую еще раз обратиться к бывшему начальнику, с этим должны что-то решить.

а от це наїзд вже справді зайвий — далеко не кожен зможе от так публічно визнати свій фейл і фейли колег, перед тим захищаючи їх. то як мінімум великий плюс в карму андрію.
чи був тут фейл прома як юр особи — окреме питання, цілком може бути що конкретний тестер просто наваяв багу з того що йому прислали зовні, і з менеджменту про це взагалі ніхто не знав. а може і знав — тоді фейл вже справді йде на імя компанії, а не однієї людини.

а от це наїзд вже справді зайвий — далеко не кожен зможе от так публічно визнати свій фейл і фейли колег,
возможно автор что-то не договаривает
Кстати напомню что подобные высеры у комментатора не первый раз (см ссылку выше)
Кстати напомню что подобные высеры у комментатора не первый раз (см ссылку выше)
ем.. як на мене — цілком адекватний тролінг на спробу видати теорію заговору (мене не взяли! а тестове наваяв ідеальне! певно комусь продали...) у відповідь на реджект(ну був хтось з кращим співвіднощенням скіли/ціна, і що такого? ніхто ж не гарантує що візьмуть саме вас.).
по темі — мені цілком природнім здається версія що в великій тімці один девелопер _може_ не знати всього що роблять інші, і тим більше — про один конкретний фікс. в результаті маєм що один чи декілька працівників прому напартачили, пообіцявши премію якої не передбачалось/не мали повноважень обіцяти, і тихенько зафіксали/створили багу як свою/реджектнули премію(якщо до менеджера дійшло).
цікаво інше — як це розрулить офіційний пром як компанія, те в що її втягнули один чи декілька її працівників.
Фикс был.
Как-то странно получилось, блин, возможно там не все так просто, не берусь судить.
Ну ок, возможно пассажиры боинга не были уже мертвыми, и возможно Украинской сушки не было, но вот про агента ЦРУ на борту еще надо доказать. Типа такого?
возможно автор что-то не договаривает,
Если вспомнить dou.ua/...orums/topic/13201/#678204 то не заплатили скорее всего потому что «такую же уязвимость прислал еще кто-то другой».
.
Как-то странно получилось что вы начали с отрицала и наездов на опоена перед тем как полезть в код и спросить у фигурантов со стороны компании (или возможно уже после того как нашли фикс).

Напомню, что в переписке email написано, что уязвимость вообще отсутствует — это слова тестировщика

Я честно говоря, крайне сомневаюсь, что таковая уязвимость вообще существовала.
Как бы не пришлось эти же слова читать через пару месяцев в каком-нибудь пост мортеме на хабре с заголовком «Prom.ua был взломан, исходники выложены на гитхаб»
А кто вы собственно такой?

5 балів!

Не умеешь продавать свои услуги.

Вполне вероятно, что со стороны прома восприняли это как шантаж и угрозу, довольно тонкая грань...

отдел тестировщиков тратит в месяц намного больше денег себе на з\п
він їх не витрачає, він отримує Х зп кожного.
і скорше за все єдиний варіант виплатити вам бонус — витягнути з своєї кишені персональних 200 баксів (що навіть для американського гугла далеко не стартовий бонус за секюріті баги), і віддати їх хз якому чуваку. я б теж не дав.
але про це брехати — то інша шняга, і тут фейл ще той.

Будем надеяться, что после этого топика, компания таки поблагодарит Вас.

І не судовим позовом як ПБ у свій час :(

які вдячні в нас організації)

Подписаться на комментарии