Jump to content
mah_one

P./a./y./p./a./l

Recommended Posts

Buna,

Cam cat iau pe o vulnerabilitate prin care dau delete la orice cont de pe paypal? (without user interaction)

Nu glumesc cand zic delete si nu e vorba de lock account, doar vreau parerei in legatura cu cam cat iau pe o astfel de vulnerabilitate. Ba mai mult, dupa ce contul este sters, banii nu mai pot fi recuperati, dar daca il creezi din nou cu o parola noua(stiuta de tine) poti sa ai access la banii ce vor veni:D

P.S.: promit sa pun si un video dupa ce i se va face un fix.

Toate cele bune,

mah_one

Link to comment
Share on other sites

Buna,

Cam cat iau pe o vulnerabilitate prin care dau delete la orice cont de pe paypal? (without user interaction)

Nu glumesc cand zic delete si nu e vorba de lock account, doar vreau parerei in legatura cu cam cat iau pe o astfel de vulnerabilitate. Ba mai mult, dupa ce contul este sters, banii nu mai pot fi recuperati, dar daca il creezi din nou cu o parola noua(stiuta de tine) poti sa ai access la banii ce vor veni:D

P.S.: promit sa pun si un video dupa ce i se va face un fix.

Toate cele bune,

mah_one

sterge-mi te rog mie contul ca m-am saturat de ei ai 500 euro adica 2430 lei PM (dar repede in 48 de ore ! ) banii reansfer bancar, western, LR, tot in afara de paypal doar dupa ce vad contul sters (nu dezactivat !) este serios am cont din 08 business

Edited by damageboy
Link to comment
Share on other sites

Sa presupunem ca e pastele, si e ora 20:00 in time zone-ul unde e sediul walmart( cu asta vreau sa zic ca nu mai e nici draq in sediul lor), site-ul walmart.com sa zicem ca are buton de paypal si din minut in minut cineva cumpara de pe site.

Cumpar si eu ceva de pe site ca sa ii aflu e-mail-ul( contul de paypal), ca apoi sa ii dau delete si sa creez altu, imi ajung 10 minute sa astept inca 200-300 de persoane sa cumpere ceva de pe magazin, iar banii sa ii transfer pe alte conturi.

P.S.: Este raportat, sa speram ca se misca repede echipa lor de dev.

Edited by mah_one
Link to comment
Share on other sites

daca ce zici tu e adevarat ai putea sa fac miliarde de $ ori pe black market ori exploiting it.

Ma cam indoiesc ca e asa simplu la faza cu "iti faci un cont nou", dar daca zici tu ca ai testat ...

Bravo! Nu cred ca o sa ti-o plateasca la adevarata valoare.

Astept cu nerabdare sa vad cum ai descoperit-o.

Link to comment
Share on other sites

Am confirmat aceasta metoda.

La ora 01:30 PM (28-04-2013) am trimis un pm cu un email denumit in avantajul ambelor parti (el a inceput emailul si eu l-am continuat,in asa fel incat sa nu fie folosit de altcineva)

La ora 01:40 PM (28-04-2013) am primit confirmarea de la el ca a fost sters .

Metoda este valida,numai ma pot autentifica , am folosit un cont in care am trimis 1 HUF . Aceast concept a decurs fara interactiunea mea.

Dar aparent: daca am fost logat in paypal,inainte sa aplice conceptul pe email-ul respectiv,ma lasa sa intru in el dar nu ma lasa sa ma autentific .

Update:

Am incercat sa dau : "I don't know my password" si nu merge .

Update #2:

Ba mai mult, incearca sa faci alt cont cu acelasi nume, o sa iti mearga, pierzi tot de pe vechiul cont, dar ce vine dupa sunt "banii tai".(se creeaza foarte multe buguri, sunt multe scenarii de testat).

Da,merge sa imi fac un cont de pe acelasi email. Bani numai sunt in cont,este ca si un cont nou,cred ca inseamna ca a fost sters server side.

Edited by Domnul.Do
Update #2
Link to comment
Share on other sites

Am confirmat aceasta metoda.

La ora 01:30 PM (28-04-2013) am trimis un pm cu un email denumit in avantajul ambelor parti (el a inceput emailul si eu l-am continuat,in asa fel incat sa nu fie folosit de altcineva)

La ora 01:40 PM (28-04-2013) am primit confirmarea de la el ca a fost sters .

Metoda este valida,numai ma pot autentifica , am folosit un cont in care am trimis 1 HUF . Aceast concept a decurs fara interactiunea mea.

Dar aparent: daca am fost logat in paypal,inainte sa aplice conceptul pe email-ul respectiv,ma lasa sa intru in el dar nu ma lasa sa ma autentific .

Update:

Am incercat sa dau : "I don't know my password" si nu merge .

Update #2:

Da,merge sa imi fac un cont de pe acelasi email. Bani numai sunt in cont,este ca si un cont nou,cred ca inseamna ca a fost sters server side.

Daca nu te mai poti autentifica asta nu insemana ca confirmi metoda

De exemplu eu am un cont paypal si din familia mea a incercat sa logeze si a dat pasul de citeva ori gresit ,imediat a blocat contul.

Nu am mai putut sa ma logez am incercat cu am uitat pasul si ma interbat raspunsul la interbarea secreta tot am facut dar nu a mers.

Am rezolvat numai cu tel la paypal si fax cu buletin pe urma a deblocat .

Deci daca am email id de la paypal tau si incerc sa ma logez de citeva ori si dau gresit il blocheza asta este un mecanism impotriva la brute force.

Si cum spune Gecko cum dracu sa faci pe adresa de mail de la alcineva cine confirma linkul ce il primesti prin email ????? :))

pe linga treaba asta chiar daca a blocat contul (nu este sters il are paypal in memoria lor ) a blocat si id EMAIL incearca sa vezi daca vrei sa faci alt cont spune ca id de mail este folosit de alcineva

Edited by neox
Link to comment
Share on other sites

ma sincer mi se pare facatura treaba asta ofer 500 de euro pentru un cont fictiv sters si omul refuza ca nu "doreste sa fie patat" si la cat are el pe paypal sau a avut nu accepta nici 10000 euro facatura la maxim !

cand ii dai force pe serverul unde este stocat vreau sa vad mesajul care spune bad clusters in account address: xxxxx nu doar sa blochez accesul unuei persoane ..asa oricine poate si nu este exploit nou

Edited by damageboy
Link to comment
Share on other sites

@Geko: poate asa o fi, nu te contrazic, pentru ca nu am facut teste dupa ce am dat delete la cont. Ce am zis eu in acest topic este o parere a mea despre cum as putea sa ma folosesc la maxim de aceasta vulnerabilitate( tin sa precizez ca nu am testat, cum nici tu nu ai testat, se creeaza multe probleme, ba chiar poti sa vezi anumite lucruri de pe un cont pe altu, o sa intelegeti de ce zic asta abia in momentul in care o sa vedeti video-ul).

@Neox: nu umblu cu prostii de genul, eu nu am blocat acel cont, dupa ce i-am zis ca e sters, l-am rugat sa faca alt cont.

Defapt hai sa iti zic din proprie experienta, dupa ce stergi un cont, poti sa iti faci un alt cont cu acelasi username.

Edited by mah_one
Link to comment
Share on other sites

@Neox: nu umblu cu prostii de genul, eu nu am blocat acel cont, dupa ce i-am zis ca e sters, l-am rugat sa faca alt cont.

Defapt hai sa iti zic din proprie experienta, dupa ce stergi un cont, poti sa iti faci un alt cont cu acelasi username.

Atunci bravo nu am comentat nimic :)

Link to comment
Share on other sites

Am sa spun, pe langa asta am sa pun si un video cum am gasit semnificatia unui md5, md5 prin care fur conturi:D + cum am facut directory listing in root folder pe una din aplicatiile lor importante.

Am 2 saptamani de cand am trimis vreo 7 probleme iar 5 le-au validat deja, ieri am trimis 4 probleme, iar azi asta cu directory listing

Am 58 de problem report-uri trimise.

dirListing.jpg

Alea sunt toate fisierele din root, le-am dat doar atat, iar testele s-au oprit la nivel de root folder, nu am mai listat si celelalte directoare.

Edited by mah_one
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...