P./a./y./p./a./l bypass auth:D

[mah_one]

Buna,

Am trimis la paypal o problema, scuze ca nu dau detalii prea multe, dar ideea e ca ma autentific in orice cont de paypal (pe una din aplicatiile lor foarte importante) doar cu username, fara sa imi trebuiasca parola. Ba mai mult, cere si parola, dar parola e hash-ul username-ului.

Formularul e ceva de genu:

username=x&password=hash(x)

Cum draq sa pui la parola username-ul criptat:)))

P.S.: am verificat azi si problema e rezolvata, pana nu imi zic si ei ca e rezolvata, nu postez nici un video, dar aveti cuvantul meu de onoare ca voi pune video, o sa fie interesant.

Toate cele bune,

mah_one

[dirtycash]

Foarte tare! Oare cate milioane de euro faceai din asta?

[gafi]

Foarte tare! Oare cate milioane de euro faceai din asta?

Nu facea foarte multi bani, garantat. Trebuie sa ai ceva foarte bine organizat sa faci bani, si din scurt, in 1-2 zile, astfel de erori se depisteaza repede daca faci abuz.

[mah_one]

Aseara le-am trimis o metoda de facut brute force attack pe conturile de paypal din main site, ultima oara cand le-am trimis brute force attack tot pe principalele conturi au dat 5000$.

Nu au nici un mecanism de blocare, captcha sau lock account.

[akkiliON]

In Google ai gasit asa vulnerabilitati ? ( Inafara de XSS si CSRF ) ! Doar intrebam !

[mah_one]

In google am stat mai demult sa caut astfel de probleme, treceau si 12 ore si nu gaseam nimic, ca sunt pe hall of fame la ei, e o ambitie dea mea, am gasit probleme minore, un bypass CSRF protection si un request without CSRF protection.

Sincer, as mai cauta, dar imi ia foarte mult timp si nu imi permit.

On subject: nu ma intrebati cum am observat ca parola e username criptat ca nici eu nu imi dau seama ce a fost in capul meu si cum am testat atunci.

Edited May 11, 2013 by mah_one

[akkiliON]

In Google gasesti greu vulnerabilitati deoarece foarte multi cauta !

Eu intr-o saptamana am gasit un XSS Reflected in google.com ! Buba era acum daca tot l-am gasit sa nu imi zica ca la gasit altcineva ! Pana la urma am fost adaugat in HoF ( Reward ) si am primit o recompensa (bani) !

[laz]

zi-ne mai multe detalii

[akkiliON]

Deci ai mai primit ceva mesaj de la ei ?

[mah_one]

inca nu... am promis, cand imi zic ca s-a reparat abia atunci il fac public, de fiecare data platesc pe 26 a lunii.

[akkiliON]

Dar celalalt ? Care puteai sa inchizi parca orice cont sau ceva de genu daca nu ma insel ... Nici la celalalt nu ti-or raspuns ? Mersi !

[mah_one]

nici la celalalt.... au sa imi dea luna asta foarte mult.

Am vreo 9 buguri validate care asteapta initial payment.

5 CSRF

2 Auth bypass

1 XSS + final payment la vreo 4 XSS-uri

nu mai zic de cel cu delete account.

+ altele de care nu imi aduc acum aminte, imi e sila sa ma uit din nou pe lista

[akkiliON]

nici la celalalt.... au sa imi dea luna asta foarte mult.

Am vreo 9 buguri validate care asteapta initial payment.

5 CSRF

2 Auth bypass

1 XSS + final payment la vreo 4 XSS-uri

nu mai zic de cel cu delete account.

+ altele de care nu imi aduc acum aminte, imi e sila sa ma uit din nou pe lista

Ok ! Multumesc ca mi-ai raspuns la intrebari !

Sa ii bei sanatos

[LiXon]

Buna,

dar aveti cuvantul meu de onoare ca voi pune video, o sa fie interesant.

Unde-i cuvantul tau?

[emeres]

cand mai ai dastea contacteazma ca le cumpar eu iti dau mai mult ca aia de la paypal

[akkiliON]

Deci ai mai primit raspuns de la ei ca or reparat problema ?

[mah_one]

Imi pare rau, dar nu am mai primit raspuns in legatura cu aceasta problema, ba mai mult mi-au trimis o lista cu status-ul pe care il am la fiecare bug, si mi-au pus la multe probleme "invalid" + ala cu delete any account on paypal, dupa ce l-au validat acum am la status "Submited"....

Mi-au promis ca se uita din nou pe lista si vor verifica si vor veni cu un raspuns la inceputul saptamanii asteia.

[akkiliON]

Imi pare rau, dar nu am mai primit raspuns in legatura cu aceasta problema, ba mai mult mi-au trimis o lista cu status-ul pe care il am la fiecare bug, si mi-au pus la multe probleme "invalid" + ala cu delete any account on paypal, dupa ce l-au validat acum am la status "Submited"....

Mi-au promis ca se uita din nou pe lista si vor verifica si vor veni cu un raspuns la inceputul saptamanii asteia.

Ok. No problem !

[abraxyss]

As avea eu o intrebare pentru OP, cum ti se pare tie atitudinea celor de la paypal fata de security researchers ? intreb aici, nu pe pm, nu intreba de de ca nici eu nu stiu

Edited May 28, 2013 by abraxyss

[mah_one]

Tocmai am primit un email de la ei, in care cineva care nu are nici o legatura cu securitate IT si-a dat cu parerea.....(in proportie de 80% cred asta).

Am zis ca "nu are nici o legatura cu securitate IT", fiindca ma tot lua cu "our security engineer on.......". Eu i-am rugat sa se mai uite odata pe ce le-am trimis in ultimile luni, iar cine "s-a uitat" pe ce le-am trimis in ultimile luni, defapt nu se uitase, el/ea verificase cand am trimis email catre ei si ce status a fost atribuit acelui problem report trimis de mine si nu facuse exact ce i-am rugat sa faca.

Mi se par cam varza, acum 3 saptamani au validat problema cu delete any account on paypal, iar acum au schimbat in "Submited"( e cam ciudata faza asta), chiar ma gandeam ca tare greu era sa verifice ce le-am zis in acel email. Sincer, nu stiu la ce sa ma mai astept de la ei.

Alt aspect negativ ar fi ca am foarte multe probleme cu status "valid" si cand e sa trimita initial payment trimit doar pe 2,3 probleme, iar restul le pastreaza pe luna viitoare.

Aseara am primit initial payment -> 250$ pe un csrf, si 325$ pe un stored xss in main site, cand puteau sa imi mai dea si pe acea problema cu "delete any account" un initial payment, "auth bypass" FULL PAYMENT, etc.

Edited May 29, 2013 by mah_one

[florin_darck]

Faci public, scrii pe twitter/blog ce ti-au zis si se fac de ras.[asta e doar o optiune]

[mah_one]

Nu mai zic ca mi-au invalidat o problema prin care reusesc sa extrag credit card in plain text + expire date + name + alot of info despre un cont( merge pe conturi random, oricum ideea este ca MERGE). Initial au pus "Valid", ca apoi sa ma intrebe cum aceasta problema de securitate le poate afecta userii.))))))

Cred ca le-am trimis vreo 3 email-uri prin care le explic cum, iar ei imi raspund ca nu vad nici o problema de securitate.....

O sa le mai dau un ultim email in care ii intreb asa:

"Daca nu e o problema de securitate, pot sa fac publica acasta problema?" SAU nici nu ii mai intreb si fac direct un full disclosure.

[StoNe-]

^ Felicitari in primul rand pentru toate bresele gasite. In al doilea rand, vad ca e o gaura serioasa, vezi cat iti dau pe ea, daca nu te satisface suma, da-le muie. Ca sfat, retrageti banii de pe paypal daca faci asta, sa nu iti dea ei muie.

[1337]

Nu mai zic ca mi-au invalidat o problema prin care reusesc sa extrag credit card in plain text + expire date + name + alot of info despre un cont( merge pe conturi random, oricum ideea este ca MERGE). Initial au pus "Valid", ca apoi sa ma intrebe cum aceasta problema de securitate le poate afecta userii.))))))

Cred ca le-am trimis vreo 3 email-uri prin care le explic cum, iar ei imi raspund ca nu vad nici o problema de securitate.....

O sa le mai dau un ultim email in care ii intreb asa:

"Daca nu e o problema de securitate, pot sa fac publica acasta problema?" SAU nici nu ii mai intreb si fac direct un full disclosure.

Fa un POC si pune-l pe YouTube, ca sa-i linistesti.

[mah_one]

DEci, ma jur, le-am aratat cum imi vizualizam credit card-ul + expire date + nume, prenume, etc( mai mult -> daca aveam bank account il arata si pe ala in plain text); iar ei ma intreaba cum poate afecta asta userii:)).

Merge pe random useri, dar ideea este ca merge.