Domnul.Do

Parerea mea este ca WebPage-ul este pentru aspect comercial/informativ , WebPage-ul nu are legatura cu soft-ul , e ca si cum ai zice : Numai e in stare functionabila un telefon deoarece incarcatorul e defect . Desigur are un impact acest "atac" dar pe alta parte este si asta o strategie de marketing .

Interesant , in ce limba vor fi prezentarile? "Speaker"-i sunt numai din intern (Ro) sau sunt si din extern?

Toata stima Andrei! Deja imi fac planul sa incep prezentarea. <Spoiler> Nu stiu daca ma credeti dar o sa se merite intrarea , o sa fie multe 0-Day-uri in adrese cu reputatie prestigioasa </Spoiler>

Foarte interesant acest bug , toate respectele mele domnule mah_one ! Am raportat si eu 2 XSS-uri : unu in domeniul principal si mai unu care se regasea in orice sub domeniu . In cat timp au raspuns/au confirmat ca o sa primesti acel whitehat badge?

Nu sunt sigur,dar am gasit acest sub domeniu mai de mult in Yahoo! Poate are o tangenta cu rasplata

Max 20 E pentru 2 sarcini,adica max. 10 E pentru o sarcina , unde 10 E =~ 45 Ron MAx. ~45 Ron pentru "parola de la root de la metin2x.ro" ?! <sarcasm>Este cea mai buna oferta pana acuma </sarcasm> Mai adauga cate zerouri la euro si poate atuncia atragi atentia dorita. OffTopic: Priceless , deja printat si maine o sa fie in rama

Inteleg ca vrei sa faci bani dar nu stiu ce sa zic in privinta programului de brute-force contracost , sunt alte OpenSource/freeware aproape pe toate protocoalele. Ce poti sa oferi tu in plus la un brute-force contracost, fata de celalate OpenSource ? (Nu ma refer la GUI)

Daca nu esti inscris in "Developer API program" care te costa ~ 100$ , raportul tau nu o sa il valideze si nici nu o sa primesti cine stie ce feedback . Eu am gasit in fiecare domeniu a lor , erau peste 8 XSS-uri si nu am vazut nimic pana in ziua de azi . Oricum, Felicitari! OffTopic: Nu are rost sa cauti in AT&T si Yandex , iti spun din propria experienta.

Poate sa puna mai multe denumiri daca ii ceri lui Carlos , ii spuni ca amandoi ati lucrat pentru acest XSS . OffTopic: Asa am pus pe cineva in lista pentru un pachet de tigari .

Interesant , este simplu conceptul . On: Samsung TV Bug Bounty

Toata stima Begood , Eu am un PipoS3 , la lumina difuza se vede foarte bine dar la soare lasa de dorit (cred ca iti trebuie ceva cu intensitate mare la culori,de ex.: display retina). Pretul era de ~ 100 $ tot cu transport. Dar trebuie sa ii faci un update la soft deoarece vine cu multe bootware-uri . Nu iti recomand daca iti trebuie sa achizitionezi acuma deoarece transportul este de 1-2 luni

Da , dar ca un exemplu: Imi fac un cont in domeniu.do ca si un user . In Privacy nu este specific nici unde ca informatile mele sa fie prelucrare de alte "Third-Party Sites" . Daca prin aceasta metoda se poate afla ca sunt un user a domeniului respectiv si nu este specificat in Privacy acest lucru , bineinteles ca nu imi convine sa stie cineva ca am o tangenta sau ca am vizitat odata acel domeniu . Pe alta parte creste rata de succes,deoarece similar cu acest P.o.C poate detecta daca esti logat si nu consumi bandwidth inutil pe un user neautentificat . Mai mult este legat de Information Leakage . Aceasta metoda o consider ca este mai mult logical issue dar combinata cu alte exploit/bug-uri poate sa creasca foarte mult rata de succes deoarece poate sa identifice user-ul dorit.

Prima data definitia de la OWASP : "An attacker can make a single request to a vulnerable server that will cause the sever to create two responses, the second of which may be misinterpreted as a response to a different request (...) . This can be accomplished by convincing the user to submit the malicious request themselves, or remotely (...) . In the best case, an attacker can leverage this ability to convince users that the application has been hacked, causing users to lose confidence in the security of the application. In the worst case, an attacker may provide specially crafted content designed to mimic the behavior of the application but redirect private information, such as account numbers and passwords, back to the attacker." Rezumat: Am trimis la o adresa ca este vulnerabila la Cross-User Defacement , cu alte cuvinte: Am dovedit ca pot sa identific remote si "silentios" daca este administratorul domeniului,prin intermediul HTTP Status Codes + CSRF Ca remediere am sfatuit sa implementeze pentru ambele cazuri HTTP Status Code-ul 200 (Ok) Raspunsul lor: "Thanks for your email. We are currently tracking this issue and do not plan to fix it as we do not feel that sending a 200 status code would have a net improvement on security." Intrebarea mea: Cosiderati Cross-User Defacement ca o problema de securitate?

Am deschis acest thread deaorece din experienta mea cand caut dupa XSS, ajung la un input/textarea ( in mare parte in blog-ul sau forum-ul domeniului respectiv ) dar ca sa nu atrag atentie nedorita,incerc sa folosesc verctori care nu par a fii vectori,ca de exemplu: Incerc sa fac dintr-un vector un smiley : <;"> Avantaje: -are formatul unui tag , daca redeaza in pagina inseamna ca filtru este numai pe tag-uri -prezinta ' " ' pentru a iesi din executia normala a unui tag html -prezinta ' ; ' pentru a iesi din executia normala a unui javascript -nu este folosit ca sa nu fie inlocuit,in cazul " : ) (fara spatiu)" poate fi inlocuit cu -daca este filtrat , se poate interpreta ca un smiley Incerc sa maschez vectorul: -fac un href pe un punct cu un protocol javascript , si restul scrisului il fac in albastru cu underline Avantaje: -scrisul o sa fie la fel , unde numai punctul la sfarsit are un protocol javascript Sau la un vector normal (care nu executa alert) adauga un <div a= , de exemplu: "><noscript></noscript><div a=" Avantaje: -nu malformeaza restul codului,datoriva tag-ul <div> -nu atrage atentie prin interactiunea user-ului Daca aveti alte modalitati de a ramane "sub radar" sau daca doriti sa va pronuntati va invit la un reply la thread-ul meu Update: Un alt smiley : ( :"> blushing) dar cu spatiu sa nu il inlocuiasca : ">

Mai inainte am trimis cateva XSS-uri si sunt curios cum pun problema in acesta situatie Update: Multumesc lutulik , daca nu prezinta interes trimit la adresa respectiva un "Tip"

O alta abordare la acesta este folosirea CSRF-ului (+abuz de serviciu) pentru detectia autentificari si din start sare:

Cel mai bun "V.P.o.C" (oarecum) pe care am vazut , este interesant .

Pana acuma am ajuns oarecum unde ai ajuns si tu,dar dupa cate vad la tine o precizat de cei 350 EURO si la mine nu. Au email de @ebay.com deoarece aici scrie: Presupun ca cei de la ebay au organizat programul de BugBounty Si o alta informatie ciudata: "These Marktplaats Security Vulnerability Policies are governed by Dutch law."

Am facut un update (#1) cu intrebari aditionale.

Ala este bounty-ul dupa remedierea problemei. Probabil acesta este doar un gift , deoarece nu zice nimic de un token in "Responsible Disclosure"-ul lor. Daca tot am deschis acest thread,ce intrebari sa le mai trimit?

Marktplaats.nl este o adresa web care recent detine un program de Bug Bounty. Informatie despre bounty: Am decis sa deschid acest thread pentru a vedea care este mentalitate lor in acest "program": Data:11.07.2013 Am trimis un raport unde am atentionat ca sunt vulnerabili la XSS in structuri diferite Data:12.07.2013 Am primit: La care am cerut mai multe informatii despre acest token. Data: 16.07.2017 Primesc raspunsul: Daca altcineva a avut tangenta cu ei sunt invitati sa faca un reply la acest thread,voi continua sa fac update-uri "in drum spre final". Update #1: Data 16.07.2013 (Multumesc Toshib4 de intrebare) Am trimis: -daca acel token se trimite de fiecare data cand se trimite un raport sau o singura data pe persoana -confirmarea bounty-ului se face in procesul de remediere sau la final.

Rezumat: Lucrez la un proiect pentru o adresa web , pentru a trece de primul pas trebuie sa trimit pana ora 10:00 (data 16.07.2013 ) ce au solicitat . Ei vor sa fie totul in .js si sa fie "la mintea cocosului" , deoarece in cazul in care vor sa faca un update , sa inteleaga .js-ul si sa il modifice dupa bunul plac . In momentul de fata lucrez la "kernel"-ul proiectului , dar vreau cineva sa faca o functie de statistica ( doar sa citeasca ce primeste de la API/js ) Job: Deoarece toate fisierele .js sunt externe cross-domain ( <script src="*.*"></script> ) , trebuie sa ma folosesc de .js-urile respective: #1 document.getElementById("Google").innerHTML='<a href="http://www.google.ro/">Google</a><a class="mail" href="http://mail.google.com/?hl=ro">Google Email</a>' #2 if ('undefined' == typeof document) { var GoogleOnPage = { Domain: 'Google', services: { load: { count: 0, error: 0 /*click:{count:0}*/ }, load_counter: '2', unload: { count: 1, suffix: '+', unload: true }, unload_counter: '2' } }; } Cerinta mea pentru: #1 Sa execute document.getElementById().innerHTML la OnLoad #2 Sa le am individual intr-o variabila sau sa le pot afisa , de ex.: alert(GoogleOnPage.Domain) Termenul si Plata: Daca sunt doritori sa lasa un pm . (sa imi fac o idee daca doreste cineva sau este risipa de bandwidth acest thread) Conceptul se trimite intr-un reply la acest thread (sau pm , dar voi raspunde greu) Platesc 15$ PayPal (=~ 50 RON) pentru conceptul care sa foloseasca .js-urile respective pana la ora 9:40 (16.07.2013) Castigatorul il voi numi ca un update la acest thread

Sau favoritul meu (ceva mai experimentat , are legatura mai mult cu DOM Clobbering ) <script>document.location=window.name</script> (tag-ul e la alegere) P.o.C: http://jsfiddle.net/gLwCM/

Bine , am inteles in majoritate ce oferi dar nu am nici o informatie despre: -care este pretul pentru "x" nr de sms-uri -care este delay-ul pana cand ajunge sms-ul la destinatie,in functie de tara si de retea (ex: Romania,Vodafone) -care este "ToS"-ul tau exact , mai ales capitolul confidentialitate si stocare Si cel mai important lucru,pe care nu ai precizat: cum pot sa ma folosesc de serviciul tau? Ai un API , un website , un software sau se face printr-un numar?

Nu am inteles ceva:cine a facut top-ul "Cei mai faimosi hacker din România" si cine a facut acest studiu (ProTV-ul?) , si pe baza caror date?! As dori sa vad si eu pe ce criterii au fost selectati pentru acest top sau e un titlul fals folosit doar pentru o comercializare mult mai buna?!