Уязвимость была в api.icq.com.
Уязвимым метод: добавление людей в чат.
mchat/AddChat
Параметры метода:
&aimsid= //Это наш секретный ключ аккаунта
&c=WebIM.jscb_tmp_c12813 //какой-то лог
&chat_id=680009979@chat.agent //собственно уязвимый метод, сюда пишется id чата
&members=740645342 //Тут должен быть uin друга, но подставляли свой uin
Таким образом, составляя запрос, мы подключались абсолютно к любому чату.
Найденное дополнение к уязвимости
Уязвимость довольно таки серьёзная, но у данной уязвимости был ещё один козырь. Когда я подключался в чат, где меня никогда не было, у меня подгружалась полная история чата, до моего присутствия там.
Репорт уязвимости на hackerone
После обнаружение уязвимости я сразу же пошёл на hackerone.com
Отрепортил проблему в ICQ, и ждал ответа.
Apr 23rd(2 monthsago)
Спасибо, проверим и обсудим текущее поведение с разработчиками.После этого я стал ждать… И вот мне пришёл ответ, которому я очень удивился…
Ответ от команды ICQ.
Добрый день!Я стал очень долго доказывать, то что уязвимость есть. И решил немного припугнуть ребят из команды ICQ.Мы не подтверждаем наличия уязвимости. Остальные находки, если таковые имеют место быть, пожалуйста, отдельными репортами.
Ответ от команды ICQ.
Вы не адекватный? Я присоединяюсь совершенно к любому чату, каков он бы ни был, дак еще и могу просмотреть то о чем общались люди до меня. Хорошо раз не считаете уязвимостью. Буду юзать для не хороших всего доброго.Всё это дело затянулось аж до мая, и вот мне наконец-то дали положительный ответ!Сергей Кашатов (reporter).
May 11thДобрый день!
Мы подтверждаем наличие проблемы безопасности и взяли её в работу. Об исправлении мы дополнительно сообщим. Выплата будет назначена в течение 1 недели.
Команда ICQ
Через 5 дней уязвимость была исправлена
Добрый день!Я подтвердил исправление, и на следующий день получил награду за уязвимость в размере $1000.Уязвимость в рамках присланного вами репорта исправлена. Проверьте, пожалуйста, что это так.
Команда ICQ
Спустя 4 недели репорт открыли для показа миру.
В общем то как-то так.
Всем спасибо.
Комментариев нет:
Отправить комментарий