Jump to content
mah_one

P./a./y./p./a./l bypass auth:D

Recommended Posts

Posted

Buna,

Am trimis la paypal o problema, scuze ca nu dau detalii prea multe, dar ideea e ca ma autentific in orice cont de paypal (pe una din aplicatiile lor foarte importante) doar cu username, fara sa imi trebuiasca parola. Ba mai mult, cere si parola, dar parola e hash-ul username-ului.

Formularul e ceva de genu:

username=x&password=hash(x)

Cum draq sa pui la parola username-ul criptat:)))

P.S.: am verificat azi si problema e rezolvata, pana nu imi zic si ei ca e rezolvata, nu postez nici un video, dar aveti cuvantul meu de onoare ca voi pune video, o sa fie interesant.

Toate cele bune,

mah_one

Posted
  dirtycash said:
Foarte tare! Oare cate milioane de euro faceai din asta? :))

Nu facea foarte multi bani, garantat. Trebuie sa ai ceva foarte bine organizat sa faci bani, si din scurt, in 1-2 zile, astfel de erori se depisteaza repede daca faci abuz.

Posted

Aseara le-am trimis o metoda de facut brute force attack pe conturile de paypal din main site, ultima oara cand le-am trimis brute force attack tot pe principalele conturi au dat 5000$.

Nu au nici un mecanism de blocare, captcha sau lock account.

Posted (edited)

In google am stat mai demult sa caut astfel de probleme, treceau si 12 ore si nu gaseam nimic, ca sunt pe hall of fame la ei, e o ambitie dea mea, am gasit probleme minore, un bypass CSRF protection si un request without CSRF protection.

Sincer, as mai cauta, dar imi ia foarte mult timp si nu imi permit.

On subject: nu ma intrebati cum am observat ca parola e username criptat ca nici eu nu imi dau seama ce a fost in capul meu si cum am testat atunci.

Edited by mah_one
  • Active Members
Posted

In Google gasesti greu vulnerabilitati deoarece foarte multi cauta !

Eu intr-o saptamana am gasit un XSS Reflected in google.com ! Buba era acum daca tot l-am gasit sa nu imi zica ca la gasit altcineva ! Pana la urma am fost adaugat in HoF ( Reward ) si am primit o recompensa (bani) !

Posted

nici la celalalt....:( au sa imi dea luna asta foarte mult.

Am vreo 9 buguri validate care asteapta initial payment.

5 CSRF

2 Auth bypass

1 XSS + final payment la vreo 4 XSS-uri

nu mai zic de cel cu delete account.

+ altele de care nu imi aduc acum aminte, imi e sila sa ma uit din nou pe lista

  • Active Members
Posted
  mah_one said:
nici la celalalt....:( au sa imi dea luna asta foarte mult.

Am vreo 9 buguri validate care asteapta initial payment.

5 CSRF

2 Auth bypass

1 XSS + final payment la vreo 4 XSS-uri

nu mai zic de cel cu delete account.

+ altele de care nu imi aduc acum aminte, imi e sila sa ma uit din nou pe lista

Ok ! Multumesc ca mi-ai raspuns la intrebari !

Sa ii bei sanatos :))

Posted

Imi pare rau, dar nu am mai primit raspuns in legatura cu aceasta problema, ba mai mult mi-au trimis o lista cu status-ul pe care il am la fiecare bug, si mi-au pus la multe probleme "invalid" + ala cu delete any account on paypal, dupa ce l-au validat acum am la status "Submited"....

Mi-au promis ca se uita din nou pe lista si vor verifica si vor veni cu un raspuns la inceputul saptamanii asteia.

  • Active Members
Posted
  mah_one said:
Imi pare rau, dar nu am mai primit raspuns in legatura cu aceasta problema, ba mai mult mi-au trimis o lista cu status-ul pe care il am la fiecare bug, si mi-au pus la multe probleme "invalid" + ala cu delete any account on paypal, dupa ce l-au validat acum am la status "Submited"....

Mi-au promis ca se uita din nou pe lista si vor verifica si vor veni cu un raspuns la inceputul saptamanii asteia.

Ok. No problem ! :)

Posted (edited)

As avea eu o intrebare pentru OP, cum ti se pare tie atitudinea celor de la paypal fata de security researchers ? :D intreb aici, nu pe pm, nu intreba de de ca nici eu nu stiu :))

Edited by abraxyss
Posted (edited)

Tocmai am primit un email de la ei, in care cineva care nu are nici o legatura cu securitate IT si-a dat cu parerea.....(in proportie de 80% cred asta).

Am zis ca "nu are nici o legatura cu securitate IT", fiindca ma tot lua cu "our security engineer on.......". Eu i-am rugat sa se mai uite odata pe ce le-am trimis in ultimile luni, iar cine "s-a uitat" pe ce le-am trimis in ultimile luni, defapt nu se uitase, el/ea verificase cand am trimis email catre ei si ce status a fost atribuit acelui problem report trimis de mine si nu facuse exact ce i-am rugat sa faca.

Mi se par cam varza, acum 3 saptamani au validat problema cu delete any account on paypal, iar acum au schimbat in "Submited"( e cam ciudata faza asta), chiar ma gandeam ca tare greu era sa verifice ce le-am zis in acel email. Sincer, nu stiu la ce sa ma mai astept de la ei.

Alt aspect negativ ar fi ca am foarte multe probleme cu status "valid" si cand e sa trimita initial payment trimit doar pe 2,3 probleme, iar restul le pastreaza pe luna viitoare.

Aseara am primit initial payment -> 250$ pe un csrf, si 325$ pe un stored xss in main site, cand puteau sa imi mai dea si pe acea problema cu "delete any account" un initial payment, "auth bypass" FULL PAYMENT, etc.

Edited by mah_one
Posted

Nu mai zic ca mi-au invalidat o problema prin care reusesc sa extrag credit card in plain text + expire date + name + alot of info despre un cont( merge pe conturi random, oricum ideea este ca MERGE). Initial au pus "Valid", ca apoi sa ma intrebe cum aceasta problema de securitate le poate afecta userii.:))))))))

Cred ca le-am trimis vreo 3 email-uri prin care le explic cum, iar ei imi raspund ca nu vad nici o problema de securitate.....

O sa le mai dau un ultim email in care ii intreb asa:

"Daca nu e o problema de securitate, pot sa fac publica acasta problema?" SAU nici nu ii mai intreb si fac direct un full disclosure.

Posted

^ Felicitari in primul rand pentru toate bresele gasite. In al doilea rand, vad ca e o gaura serioasa, vezi cat iti dau pe ea, daca nu te satisface suma, da-le muie. Ca sfat, retrageti banii de pe paypal daca faci asta, sa nu iti dea ei muie. :))

Posted
  mah_one said:
Nu mai zic ca mi-au invalidat o problema prin care reusesc sa extrag credit card in plain text + expire date + name + alot of info despre un cont( merge pe conturi random, oricum ideea este ca MERGE). Initial au pus "Valid", ca apoi sa ma intrebe cum aceasta problema de securitate le poate afecta userii.:))))))))

Cred ca le-am trimis vreo 3 email-uri prin care le explic cum, iar ei imi raspund ca nu vad nici o problema de securitate.....

O sa le mai dau un ultim email in care ii intreb asa:

"Daca nu e o problema de securitate, pot sa fac publica acasta problema?" SAU nici nu ii mai intreb si fac direct un full disclosure.

Fa un POC si pune-l pe YouTube, ca sa-i linistesti.

Posted

DEci, ma jur, le-am aratat cum imi vizualizam credit card-ul + expire date + nume, prenume, etc( mai mult -> daca aveam bank account il arata si pe ala in plain text); iar ei ma intreaba cum poate afecta asta userii:)).

Merge pe random useri, dar ideea este ca merge.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.




×
×
  • Create New...