mah_one Posted April 27, 2013 Report Posted April 27, 2013 Buna,Cam cat iau pe o vulnerabilitate prin care dau delete la orice cont de pe paypal? (without user interaction)Nu glumesc cand zic delete si nu e vorba de lock account, doar vreau parerei in legatura cu cam cat iau pe o astfel de vulnerabilitate. Ba mai mult, dupa ce contul este sters, banii nu mai pot fi recuperati, dar daca il creezi din nou cu o parola noua(stiuta de tine) poti sa ai access la banii ce vor veni:DP.S.: promit sa pun si un video dupa ce i se va face un fix.Toate cele bune,mah_one Quote
Active Members akkiliON Posted April 27, 2013 Active Members Report Posted April 27, 2013 (edited) In orice caz cred ca mult trebuie sa primesti pt asa ceva ... ! Edited May 13, 2013 by akkiliON Quote
Domnul.Do Posted April 27, 2013 Report Posted April 27, 2013 Acuma depinde in ce categorie este situata vulnerabilitatea.Pentru un redirect , se recompenseaza cu 350$ (confirmat) la restul inca nu stiu , deoarece inca nu au validat . Quote
damageboy Posted April 28, 2013 Report Posted April 28, 2013 (edited) Buna,Cam cat iau pe o vulnerabilitate prin care dau delete la orice cont de pe paypal? (without user interaction)Nu glumesc cand zic delete si nu e vorba de lock account, doar vreau parerei in legatura cu cam cat iau pe o astfel de vulnerabilitate. Ba mai mult, dupa ce contul este sters, banii nu mai pot fi recuperati, dar daca il creezi din nou cu o parola noua(stiuta de tine) poti sa ai access la banii ce vor veni:DP.S.: promit sa pun si un video dupa ce i se va face un fix.Toate cele bune,mah_onesterge-mi te rog mie contul ca m-am saturat de ei ai 500 euro adica 2430 lei PM (dar repede in 48 de ore ! ) banii reansfer bancar, western, LR, tot in afara de paypal doar dupa ce vad contul sters (nu dezactivat !) este serios am cont din 08 business Edited April 28, 2013 by damageboy Quote
mah_one Posted April 28, 2013 Author Report Posted April 28, 2013 (edited) Sa presupunem ca e pastele, si e ora 20:00 in time zone-ul unde e sediul walmart( cu asta vreau sa zic ca nu mai e nici draq in sediul lor), site-ul walmart.com sa zicem ca are buton de paypal si din minut in minut cineva cumpara de pe site.Cumpar si eu ceva de pe site ca sa ii aflu e-mail-ul( contul de paypal), ca apoi sa ii dau delete si sa creez altu, imi ajung 10 minute sa astept inca 200-300 de persoane sa cumpere ceva de pe magazin, iar banii sa ii transfer pe alte conturi.P.S.: Este raportat, sa speram ca se misca repede echipa lor de dev. Edited April 28, 2013 by mah_one Quote
yoyois Posted April 28, 2013 Report Posted April 28, 2013 daca ce zici tu e adevarat ai putea sa fac miliarde de $ ori pe black market ori exploiting it.Ma cam indoiesc ca e asa simplu la faza cu "iti faci un cont nou", dar daca zici tu ca ai testat ...Bravo! Nu cred ca o sa ti-o plateasca la adevarata valoare.Astept cu nerabdare sa vad cum ai descoperit-o. Quote
Domnul.Do Posted April 28, 2013 Report Posted April 28, 2013 (edited) Am confirmat aceasta metoda.La ora 01:30 PM (28-04-2013) am trimis un pm cu un email denumit in avantajul ambelor parti (el a inceput emailul si eu l-am continuat,in asa fel incat sa nu fie folosit de altcineva)La ora 01:40 PM (28-04-2013) am primit confirmarea de la el ca a fost sters .Metoda este valida,numai ma pot autentifica , am folosit un cont in care am trimis 1 HUF . Aceast concept a decurs fara interactiunea mea.Dar aparent: daca am fost logat in paypal,inainte sa aplice conceptul pe email-ul respectiv,ma lasa sa intru in el dar nu ma lasa sa ma autentific .Update:Am incercat sa dau : "I don't know my password" si nu merge .Update #2:Ba mai mult, incearca sa faci alt cont cu acelasi nume, o sa iti mearga, pierzi tot de pe vechiul cont, dar ce vine dupa sunt "banii tai".(se creeaza foarte multe buguri, sunt multe scenarii de testat).Da,merge sa imi fac un cont de pe acelasi email. Bani numai sunt in cont,este ca si un cont nou,cred ca inseamna ca a fost sters server side. Edited April 28, 2013 by Domnul.Do Update #2 Quote
mah_one Posted April 28, 2013 Author Report Posted April 28, 2013 Ba mai mult, incearca sa faci alt cont cu acelasi nume, o sa iti mearga, pierzi tot de pe vechiul cont, dar ce vine dupa sunt "banii tai".(se creeaza foarte multe buguri, sunt multe scenarii de testat). Quote
neox Posted April 28, 2013 Report Posted April 28, 2013 (edited) Am confirmat aceasta metoda.La ora 01:30 PM (28-04-2013) am trimis un pm cu un email denumit in avantajul ambelor parti (el a inceput emailul si eu l-am continuat,in asa fel incat sa nu fie folosit de altcineva)La ora 01:40 PM (28-04-2013) am primit confirmarea de la el ca a fost sters .Metoda este valida,numai ma pot autentifica , am folosit un cont in care am trimis 1 HUF . Aceast concept a decurs fara interactiunea mea.Dar aparent: daca am fost logat in paypal,inainte sa aplice conceptul pe email-ul respectiv,ma lasa sa intru in el dar nu ma lasa sa ma autentific .Update:Am incercat sa dau : "I don't know my password" si nu merge .Update #2:Da,merge sa imi fac un cont de pe acelasi email. Bani numai sunt in cont,este ca si un cont nou,cred ca inseamna ca a fost sters server side.Daca nu te mai poti autentifica asta nu insemana ca confirmi metoda De exemplu eu am un cont paypal si din familia mea a incercat sa logeze si a dat pasul de citeva ori gresit ,imediat a blocat contul.Nu am mai putut sa ma logez am incercat cu am uitat pasul si ma interbat raspunsul la interbarea secreta tot am facut dar nu a mers. Am rezolvat numai cu tel la paypal si fax cu buletin pe urma a deblocat .Deci daca am email id de la paypal tau si incerc sa ma logez de citeva ori si dau gresit il blocheza asta este un mecanism impotriva la brute force.Si cum spune Gecko cum dracu sa faci pe adresa de mail de la alcineva cine confirma linkul ce il primesti prin email ????? pe linga treaba asta chiar daca a blocat contul (nu este sters il are paypal in memoria lor ) a blocat si id EMAIL incearca sa vezi daca vrei sa faci alt cont spune ca id de mail este folosit de alcineva Edited April 28, 2013 by neox Quote
damageboy Posted April 28, 2013 Report Posted April 28, 2013 (edited) ma sincer mi se pare facatura treaba asta ofer 500 de euro pentru un cont fictiv sters si omul refuza ca nu "doreste sa fie patat" si la cat are el pe paypal sau a avut nu accepta nici 10000 euro facatura la maxim !cand ii dai force pe serverul unde este stocat vreau sa vad mesajul care spune bad clusters in account address: xxxxx nu doar sa blochez accesul unuei persoane ..asa oricine poate si nu este exploit nou Edited April 28, 2013 by damageboy Quote
mah_one Posted April 28, 2013 Author Report Posted April 28, 2013 (edited) @Geko: poate asa o fi, nu te contrazic, pentru ca nu am facut teste dupa ce am dat delete la cont. Ce am zis eu in acest topic este o parere a mea despre cum as putea sa ma folosesc la maxim de aceasta vulnerabilitate( tin sa precizez ca nu am testat, cum nici tu nu ai testat, se creeaza multe probleme, ba chiar poti sa vezi anumite lucruri de pe un cont pe altu, o sa intelegeti de ce zic asta abia in momentul in care o sa vedeti video-ul).@Neox: nu umblu cu prostii de genul, eu nu am blocat acel cont, dupa ce i-am zis ca e sters, l-am rugat sa faca alt cont.Defapt hai sa iti zic din proprie experienta, dupa ce stergi un cont, poti sa iti faci un alt cont cu acelasi username. Edited April 28, 2013 by mah_one Quote
danger2u Posted April 28, 2013 Report Posted April 28, 2013 mah one am 3 euro pe paypal.macar lasa ma sa ii cheltui si dupa aia poti sa imi iei si contu meu Quote
damageboy Posted April 28, 2013 Report Posted April 28, 2013 hai sa nu exageram am blocat contul unui italian , in cateva ore a incercat sa intre pe cont acceasi eroare cum zice baiatul a pus mana pe telefon a sunat la PP si in 10 min contul era functional ce cacat mancam aici ? poate merge pe tarile din africa din sud sau sudul rusiei... Quote
neox Posted April 29, 2013 Report Posted April 29, 2013 @Neox: nu umblu cu prostii de genul, eu nu am blocat acel cont, dupa ce i-am zis ca e sters, l-am rugat sa faca alt cont.Defapt hai sa iti zic din proprie experienta, dupa ce stergi un cont, poti sa iti faci un alt cont cu acelasi username.Atunci bravo nu am comentat nimic Quote
fjtr Posted May 8, 2013 Report Posted May 8, 2013 Ce smecherie ca deja ma vad matrix iar ... pe cand video-ul? Quote
mah_one Posted May 8, 2013 Author Report Posted May 8, 2013 Video-ul va fi cand vor fixa problema, abia au validat-o. Quote
Active Members akkiliON Posted May 8, 2013 Active Members Report Posted May 8, 2013 Sa ne spui daca doresti si cat primesti pe acest bug !Multumesc ! Quote
mah_one Posted May 8, 2013 Author Report Posted May 8, 2013 (edited) Am sa spun, pe langa asta am sa pun si un video cum am gasit semnificatia unui md5, md5 prin care fur conturi:D + cum am facut directory listing in root folder pe una din aplicatiile lor importante.Am 2 saptamani de cand am trimis vreo 7 probleme iar 5 le-au validat deja, ieri am trimis 4 probleme, iar azi asta cu directory listingAm 58 de problem report-uri trimise.Alea sunt toate fisierele din root, le-am dat doar atat, iar testele s-au oprit la nivel de root folder, nu am mai listat si celelalte directoare. Edited May 8, 2013 by mah_one Quote
