...

суббота, 7 декабря 2013 г.

PayPal не платит за Bug Bounty

Всем привет, данный пост — крик души и первая попытка бунтовать. Я не один такой, у меня много знакомых, которым компания PayPal не отвечает или говорит, что не видят опасности в найденных уязвимостях.

image




Я начал участие в BugBounty от PayPal летом 2013, когда нашёл первую уязвимость — XSS



XSS — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «внедрение кода»





Пришел ответ, что письмо получили и передали их security-инженерам. Странно, что письма передаются через посредника, возможно поддержка sitesecurity@paypal сначала разгребает письма, отсеивает ложные и лишь потом передает их безопасникам.

Потом я нашёл ещё одну XSS — с помощью cookie, но опасность данной уязвимости и правда спорная, так как злоумышленнику необходимо иметь доступ к cookie жертвы. А такая возможность была, ибо я нашёл CRLF inj.



Сокращение CRLF происходит от английских словосочетаний «carriage return / line feed» (возврат каретки / перевод строки), это два управляющих символа с кодами 0Dh и 0Ah в ASCII соответственно.


CRLF-injection — внедрение символов переноса строки, благодаря которой можно эксплуатировать другие уязвимости, в данном случае это расщепление ответа заголоков от веб-сервера, благодаря чему возможно сделать произвольный заголовок, в примере это set-cookie



На все баги в основном ответ такой:

image


Вообще — CRLF хоть и старая, но универсальная уязвимость. Добавил заголовок x-xss-protection: 0 — и отключил защиту от XSS в Crome или IE, с фиксацией сессии — поможет Set-cookie. Типичная реакция PayPal — чувак, ты нас не убедил. И тут начинается лента писем с доказательствами, я даже снял видео по найденным багам (на фоне ковра):




… но им все равно.

Я более подробно расписал в своем блоге, и я верю, что смогу достучаться до руководства PayPal, а суть данного поста — предупредить других багхантеров, что PayPal относится к безопасности несерьёзно, в поддержке сидят некомпетентные сотрудники, так что лучше не тратить своё время.


Если есть ребята на хабре с аналогичной ситуацией — прошу отписать в комментариях (а лучше даже в личку).


This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.


Комментариев нет:

Отправить комментарий