mah_one Posted May 11, 2013 Report Posted May 11, 2013 Buna,Am trimis la paypal o problema, scuze ca nu dau detalii prea multe, dar ideea e ca ma autentific in orice cont de paypal (pe una din aplicatiile lor foarte importante) doar cu username, fara sa imi trebuiasca parola. Ba mai mult, cere si parola, dar parola e hash-ul username-ului.Formularul e ceva de genu:username=x&password=hash(x)Cum draq sa pui la parola username-ul criptat:)))P.S.: am verificat azi si problema e rezolvata, pana nu imi zic si ei ca e rezolvata, nu postez nici un video, dar aveti cuvantul meu de onoare ca voi pune video, o sa fie interesant.Toate cele bune,mah_one Quote
dirtycash Posted May 11, 2013 Report Posted May 11, 2013 Foarte tare! Oare cate milioane de euro faceai din asta? Quote
gafi Posted May 11, 2013 Report Posted May 11, 2013 dirtycash said: Foarte tare! Oare cate milioane de euro faceai din asta? Nu facea foarte multi bani, garantat. Trebuie sa ai ceva foarte bine organizat sa faci bani, si din scurt, in 1-2 zile, astfel de erori se depisteaza repede daca faci abuz. Quote
mah_one Posted May 11, 2013 Author Report Posted May 11, 2013 Aseara le-am trimis o metoda de facut brute force attack pe conturile de paypal din main site, ultima oara cand le-am trimis brute force attack tot pe principalele conturi au dat 5000$.Nu au nici un mecanism de blocare, captcha sau lock account. Quote
Active Members akkiliON Posted May 11, 2013 Active Members Report Posted May 11, 2013 In Google ai gasit asa vulnerabilitati ? ( Inafara de XSS si CSRF ) ! Doar intrebam ! Quote
mah_one Posted May 11, 2013 Author Report Posted May 11, 2013 (edited) In google am stat mai demult sa caut astfel de probleme, treceau si 12 ore si nu gaseam nimic, ca sunt pe hall of fame la ei, e o ambitie dea mea, am gasit probleme minore, un bypass CSRF protection si un request without CSRF protection.Sincer, as mai cauta, dar imi ia foarte mult timp si nu imi permit.On subject: nu ma intrebati cum am observat ca parola e username criptat ca nici eu nu imi dau seama ce a fost in capul meu si cum am testat atunci. Edited May 11, 2013 by mah_one Quote
Active Members akkiliON Posted May 11, 2013 Active Members Report Posted May 11, 2013 In Google gasesti greu vulnerabilitati deoarece foarte multi cauta ! Eu intr-o saptamana am gasit un XSS Reflected in google.com ! Buba era acum daca tot l-am gasit sa nu imi zica ca la gasit altcineva ! Pana la urma am fost adaugat in HoF ( Reward ) si am primit o recompensa (bani) ! Quote
Active Members akkiliON Posted May 18, 2013 Active Members Report Posted May 18, 2013 Deci ai mai primit ceva mesaj de la ei ? Quote
mah_one Posted May 18, 2013 Author Report Posted May 18, 2013 inca nu... am promis, cand imi zic ca s-a reparat abia atunci il fac public, de fiecare data platesc pe 26 a lunii. Quote
Active Members akkiliON Posted May 18, 2013 Active Members Report Posted May 18, 2013 Dar celalalt ? Care puteai sa inchizi parca orice cont sau ceva de genu daca nu ma insel ... Nici la celalalt nu ti-or raspuns ? Mersi ! Quote
mah_one Posted May 18, 2013 Author Report Posted May 18, 2013 nici la celalalt.... au sa imi dea luna asta foarte mult.Am vreo 9 buguri validate care asteapta initial payment.5 CSRF2 Auth bypass1 XSS + final payment la vreo 4 XSS-urinu mai zic de cel cu delete account.+ altele de care nu imi aduc acum aminte, imi e sila sa ma uit din nou pe lista Quote
Active Members akkiliON Posted May 18, 2013 Active Members Report Posted May 18, 2013 mah_one said: nici la celalalt.... au sa imi dea luna asta foarte mult.Am vreo 9 buguri validate care asteapta initial payment.5 CSRF2 Auth bypass1 XSS + final payment la vreo 4 XSS-urinu mai zic de cel cu delete account.+ altele de care nu imi aduc acum aminte, imi e sila sa ma uit din nou pe listaOk ! Multumesc ca mi-ai raspuns la intrebari !Sa ii bei sanatos Quote
LiXon Posted May 19, 2013 Report Posted May 19, 2013 mah_one said: Buna,dar aveti cuvantul meu de onoare ca voi pune video, o sa fie interesant.Unde-i cuvantul tau? Quote
emeres Posted May 28, 2013 Report Posted May 28, 2013 cand mai ai dastea contacteazma ca le cumpar eu iti dau mai mult ca aia de la paypal Quote
Active Members akkiliON Posted May 28, 2013 Active Members Report Posted May 28, 2013 Deci ai mai primit raspuns de la ei ca or reparat problema ? Quote
mah_one Posted May 28, 2013 Author Report Posted May 28, 2013 Imi pare rau, dar nu am mai primit raspuns in legatura cu aceasta problema, ba mai mult mi-au trimis o lista cu status-ul pe care il am la fiecare bug, si mi-au pus la multe probleme "invalid" + ala cu delete any account on paypal, dupa ce l-au validat acum am la status "Submited"....Mi-au promis ca se uita din nou pe lista si vor verifica si vor veni cu un raspuns la inceputul saptamanii asteia. Quote
Active Members akkiliON Posted May 28, 2013 Active Members Report Posted May 28, 2013 mah_one said: Imi pare rau, dar nu am mai primit raspuns in legatura cu aceasta problema, ba mai mult mi-au trimis o lista cu status-ul pe care il am la fiecare bug, si mi-au pus la multe probleme "invalid" + ala cu delete any account on paypal, dupa ce l-au validat acum am la status "Submited"....Mi-au promis ca se uita din nou pe lista si vor verifica si vor veni cu un raspuns la inceputul saptamanii asteia.Ok. No problem ! Quote
abraxyss Posted May 28, 2013 Report Posted May 28, 2013 (edited) As avea eu o intrebare pentru OP, cum ti se pare tie atitudinea celor de la paypal fata de security researchers ? intreb aici, nu pe pm, nu intreba de de ca nici eu nu stiu Edited May 28, 2013 by abraxyss Quote
mah_one Posted May 29, 2013 Author Report Posted May 29, 2013 (edited) Tocmai am primit un email de la ei, in care cineva care nu are nici o legatura cu securitate IT si-a dat cu parerea.....(in proportie de 80% cred asta).Am zis ca "nu are nici o legatura cu securitate IT", fiindca ma tot lua cu "our security engineer on.......". Eu i-am rugat sa se mai uite odata pe ce le-am trimis in ultimile luni, iar cine "s-a uitat" pe ce le-am trimis in ultimile luni, defapt nu se uitase, el/ea verificase cand am trimis email catre ei si ce status a fost atribuit acelui problem report trimis de mine si nu facuse exact ce i-am rugat sa faca.Mi se par cam varza, acum 3 saptamani au validat problema cu delete any account on paypal, iar acum au schimbat in "Submited"( e cam ciudata faza asta), chiar ma gandeam ca tare greu era sa verifice ce le-am zis in acel email. Sincer, nu stiu la ce sa ma mai astept de la ei.Alt aspect negativ ar fi ca am foarte multe probleme cu status "valid" si cand e sa trimita initial payment trimit doar pe 2,3 probleme, iar restul le pastreaza pe luna viitoare.Aseara am primit initial payment -> 250$ pe un csrf, si 325$ pe un stored xss in main site, cand puteau sa imi mai dea si pe acea problema cu "delete any account" un initial payment, "auth bypass" FULL PAYMENT, etc. Edited May 29, 2013 by mah_one Quote
florin_darck Posted May 29, 2013 Report Posted May 29, 2013 Faci public, scrii pe twitter/blog ce ti-au zis si se fac de ras.[asta e doar o optiune] Quote
mah_one Posted May 29, 2013 Author Report Posted May 29, 2013 Nu mai zic ca mi-au invalidat o problema prin care reusesc sa extrag credit card in plain text + expire date + name + alot of info despre un cont( merge pe conturi random, oricum ideea este ca MERGE). Initial au pus "Valid", ca apoi sa ma intrebe cum aceasta problema de securitate le poate afecta userii.))))))Cred ca le-am trimis vreo 3 email-uri prin care le explic cum, iar ei imi raspund ca nu vad nici o problema de securitate.....O sa le mai dau un ultim email in care ii intreb asa:"Daca nu e o problema de securitate, pot sa fac publica acasta problema?" SAU nici nu ii mai intreb si fac direct un full disclosure. Quote
StoNe- Posted May 29, 2013 Report Posted May 29, 2013 ^ Felicitari in primul rand pentru toate bresele gasite. In al doilea rand, vad ca e o gaura serioasa, vezi cat iti dau pe ea, daca nu te satisface suma, da-le muie. Ca sfat, retrageti banii de pe paypal daca faci asta, sa nu iti dea ei muie. Quote
1337 Posted May 29, 2013 Report Posted May 29, 2013 mah_one said: Nu mai zic ca mi-au invalidat o problema prin care reusesc sa extrag credit card in plain text + expire date + name + alot of info despre un cont( merge pe conturi random, oricum ideea este ca MERGE). Initial au pus "Valid", ca apoi sa ma intrebe cum aceasta problema de securitate le poate afecta userii.))))))Cred ca le-am trimis vreo 3 email-uri prin care le explic cum, iar ei imi raspund ca nu vad nici o problema de securitate.....O sa le mai dau un ultim email in care ii intreb asa:"Daca nu e o problema de securitate, pot sa fac publica acasta problema?" SAU nici nu ii mai intreb si fac direct un full disclosure.Fa un POC si pune-l pe YouTube, ca sa-i linistesti. Quote
mah_one Posted May 29, 2013 Author Report Posted May 29, 2013 DEci, ma jur, le-am aratat cum imi vizualizam credit card-ul + expire date + nume, prenume, etc( mai mult -> daca aveam bank account il arata si pe ala in plain text); iar ei ma intreaba cum poate afecta asta userii:)). Merge pe random useri, dar ideea este ca merge. Quote