Domnul.Do

Foarte interesant .

Nu cred ca asta e rezolvarea , dar e un XSS si acesta (nu se poate exploata,este folositor numai prin log-uri)

Am confirmat aceasta metoda. La ora 01:30 PM (28-04-2013) am trimis un pm cu un email denumit in avantajul ambelor parti (el a inceput emailul si eu l-am continuat,in asa fel incat sa nu fie folosit de altcineva) La ora 01:40 PM (28-04-2013) am primit confirmarea de la el ca a fost sters . Metoda este valida,numai ma pot autentifica , am folosit un cont in care am trimis 1 HUF . Aceast concept a decurs fara interactiunea mea. Dar aparent: daca am fost logat in paypal,inainte sa aplice conceptul pe email-ul respectiv,ma lasa sa intru in el dar nu ma lasa sa ma autentific . Update: Am incercat sa dau : "I don't know my password" si nu merge . Update #2: Da,merge sa imi fac un cont de pe acelasi email. Bani numai sunt in cont,este ca si un cont nou,cred ca inseamna ca a fost sters server side.

Acuma depinde in ce categorie este situata vulnerabilitatea. Pentru un redirect , se recompenseaza cu 350$ (confirmat) la restul inca nu stiu , deoarece inca nu au validat .

Pe ce email ai trimis? Deoarece si eu am facut de 2 ori aceasi prostie. Aici e vorba de responsible disclosure , pana cand nu este remediata problema nu pot publica problema exacta altfel pierd dreptul la HoF Da , au HoF : Acknowledgements - Nokia OffTopic: Am primit un raspuns ciudat , sa le arat un exemplu cum se poate exploata aceasta vulnerabilitate. Probabil face parte din procedura/protocolul lor.

Vulnerabilitate : XSS Categorie: Self XSS (posibil persistent) Stare: Raportat P.o.C:

Oricum interesant thread! Offtopic: Probabil o sa gaseasca si respectivul(a) acestea cu timpul,dar am vrut sa ajut comunitatea , wildchild a inceput initiativa si intentia mea este sa ajut si eu la randul meu. Da,dar cand te prezinti la interviu , este un plus pentru tine ca ai gasit ceva , te evidentiezi din multime si prin aceste descoperiri. Aici sunt de acord cu tine,dar ca un exemplu: Detini o firma care presteaza serviciu pentru siguranta offline a informatilor utilizatorilor pentru intreprinderea de care ai fost angajata. Dar domain-ul tau este vulnerabil la un atac de tip LFI . Cum poti sa spuni tu ca oferi siguranta informatilor cand tu ai o mare problema in domeniul tau?! Desigur,probleme apar dar domeni-ul tau este fata ta comerciala. Daca doriti sa faceti un reply offtopic , mai bine trimite-mi un pm deoarece dupa parerea mea acest thread este destul de bun.

La respectivul ales de tine pot sa ii ofer si XSS-urile gasite , este luat in serios mai bine deoarece eu nu am ce face cu ele.

Dar adresa este vulnerabila la XSS , ironie . Oricum este un gest frumos din partea ta wildchild deoarece oferi un post de lucru bun. +1 Rep. Update: Sunt 8 XSS-uri in total, in main domain si un sub domain . Asta este o dezamagire totala.

Care este criteriu/clasificarea la "Severity" ?

Bravo! Jos palaria!

Cred ca stiu de cine e vorba , este vorba de Ashar ? Ca sa nu fie un offtopic total: In cand timp ai primit un feedback? Un "human feedback" , nu unu automat.

Nu este nimic spectaculos ,nu este munca mea, este 0-Day care a aparut acuma recent de altcineva. P.o.C:

Te felicit! Chiar am cautat de ceva timp in domeniul respectiv si nu am gasit nimica , dar adevarul este ca nici nu mam gandit la un DOM XSS Update: +1 rep

<sarcasm> nu stiu de ce dar cand am vazut acest thread , am fost redirectionat catre rstforums.com </sarcasm>

Buna ziua si tie , stimate Claudiu din Sibiu .

Te pot ajuta eu, trimite un pm daca vrei in PayPal

Da,feedback-ul lor automat lam primit . Am si 'mail-ul' la ei dar pana cand ajunge la validare propriu-zisa dureaza o perioada de timp.

Cateva in cms.PayPal.com si restul sunt 'non Xss'

Mai are rost sa te felicit ?! O sa dureze pana cand valideaza , am deja 4 rapoarte la ei de jum de an

Blogul original,o alta perspectiva: How easy it is to Socially Engineer Microsoft Skype Support | PhrozenSoft Blog

Nu pot sa zic exact suma ,dar o sa ai un bug bounty de $500 sau $1,337 . Felicitari si daca ai nevoie cu formularul W8BEN , ai aici la Update #1

Dami te rog email-ul prietenului tau,sa ii raportez un XSS. Intr-adevar un site minimalistic si bun.

Un site bine structurat. Am sa ma uit la el.