P./a./y./p./a./l bypass auth:D

[Nytro]

"325$ pe un stored xss in main site"

Ce jegosi

[mah_one]

"325$ pe un stored xss in main site"

Ce jegosi

Eu sper ca imi da restul pana la 1000$.

In billsafe.de cand am raportat un reflected XSS, mi-au dat 50$ initial payment, iar remaining bounty a fost de 450$.

[Zatarra]

DEci, ma jur, le-am aratat cum imi vizualizam credit card-ul + expire date + nume, prenume, etc( mai mult -> daca aveam bank account il arata si pe ala in plain text); iar ei ma intreaba cum poate afecta asta userii:)).

Merge pe random useri, dar ideea este ca merge.

Faci un PoC pe mine?

[akkiliON]

"325$ pe un stored xss in main site"

Ce jegosi

Deci sunt lamurit cu cei de la Paypal

Nu are rost sa cauti nimic la ei..

Muieeeee Paypal.

[StoNe-]

Le cauti si le dai pe black market.

[Sutti]

Le poti da pe hf cu mult mai mult. Daca ai nevoie de cont acolo te ajut eu

[mah_one]

Faci un PoC pe mine?

daca fac un p.o.c. pe cineva, trebuie sa iti cer sa faci ceva si iti vei da seama care e problema, dupa cum am zis faza e pe useri random si nu pot sa o reproduc stiind email-ul victimei.

Cei drept sansele sa reusesti nu sunt mari, dar ideea e ca merge.

[SilenTx0]

Din treaba asta cu vulnerabilitatile gasite si neseriozitatea celor de la paypal au de castigat doar cei de la paypal.Daca tu faci un PoC cu o vulnerabilitate fara ca aceasta sa fie rezolvata si o faci publica , ei te vor da in judecata si te vor stoarce de bani.Ii doare fix in pula ca pui tu video pe youtube.le strici putin imaginea si cam atat+ ca iti vor sterge video-ul(ca dupa ce vad imediat rezolva vulnerabilitatea) dar dupa tot tu ai de pierdut:).Mai bine cauti in google pentru ca sunt mai seriosi.(adevarat e si faptul ca se gasesc greu dar merita)

[Vlachs]

Ceva miroase urat in toata povestea asta si nu e paypal-ul ci as inclina spre mah_one.

Voi nu intelegeti ceva, Paypal sunt atat de muisti pentru ca respecta 100% regulile, nu merge cu jumatati de masura la ei, sunt o firma si una serioasa inca.

mah_one daca esti pustiul care cred eu, te banez !

[GraFFik]

Ceva miroase urat in toata povestea asta si nu e paypal-ul ci as inclina spre mah_one.

Voi nu intelegeti ceva, Paypal sunt atat de muisti pentru ca respecta 100% regulile, nu merge cu jumatati de masura la ei, sunt o firma si una serioasa inca.

mah_one daca esti pustiul care cred eu, te banez !

@ mah_one: Daca vrei sa te scoti rapid si sa ramai curat(no offence), trimite si tu un proof unor admini, Nitro, in cazul asta ElChief. Nu cred ca se apuca ei sa dea mai departe munca ta.

@ ElChief +rep Good Point!

[mah_one]

Ceva miroase urat in toata povestea asta si nu e paypal-ul ci as inclina spre mah_one.

Voi nu intelegeti ceva, Paypal sunt atat de muisti pentru ca respecta 100% regulile, nu merge cu jumatati de masura la ei, sunt o firma si una serioasa inca.

mah_one daca esti pustiul care cred eu, te banez !

ElChief, eu le-am trimis o modalitate( demonstrata in problem report-ul trimis la ei) prin care pot vizualiza in plain text credit card-ul unui user random + alte informatii importante. Iar ei mi-au raspuns la ce le-am trimis eu lor prin "Si cum poate afecta ce ai gasit tu userii nostrii?". Eu am inteles ca exista posibilitatea ca cel care a citit sa nu fi inteles care e cu adevarat problema si iar le-am explicat ce le-am trimis eu initial si anume ca m-am autentificat pe un cont cu care fac eu teste si ca de pe acel cont am putut sa vad, in plain text, cardul meu de credit + expire date in plain text( in caz ca aveam bank account si pe ala il puteai vedea). Cei drept sansa sa dai peste un credit card sau bank account e destul de mica. Dar pentru o firma ca paypal nu trebuie sa existe sansa nici de 0.0001% sa poti da peste un credit card valid al unui client doar incrementand sau decrementand un numar. Tot ce ai de facut este sa lasi un wfuzz sa isi faca treaba sau intruder de la Burp Suite.

In legatura cu pustiul, nu stiu la cine te referi, dar eu nu sunt un pusti.

@ mah_one: Daca vrei sa te scoti rapid si sa ramai curat(no offence), trimite si tu un proof unor admini, Nitro, in cazul asta ElChief. Nu cred ca se apuca ei sa dea mai departe munca ta.

@ ElChief +rep Good Point!

Asta cu cc-urile nu fac demo, e mai sigur pentru mine, dar P.o.C. la delete any account am facut deja lui Domnul.Do, iar la faza cu auth bypass pana nu primesc raspuns de la ei nu fac release la video + ca mai am inca una tare de care nu v-am zis-> cum sa furi anumite conturi de pe unul din site-urile ce apartine de paypal (am deja video, ii fac release cand rezolva problema).

graffik, nu am inteles ce ai vrut sa zici cu " si sa ramai curat". M-a prins pe mine cineva ca mint? Am facut eu ceva gresit?

Sunt doar presiuni fiindca sunteti prea curiosi, eu am zis ferm ca nu dau nimic pana nu rezolva paypal problema. Nu as minti mai ales ca numele meu adevarat e foarte usor de aflat, daca vroiam sa mint as fi creat un cont anonim si ma laudam aiurea.

Edited May 30, 2013 by mah_one

[alinh0]

Poti sa-mi stergi contu de pp limitat? Vreau sa fac altu dar nu vrea sa-mi schimb cardul.

[akkiliON]

Ceva miroase urat in toata povestea asta si nu e paypal-ul ci as inclina spre mah_one.

Voi nu intelegeti ceva, Paypal sunt atat de muisti pentru ca respecta 100% regulile, nu merge cu jumatati de masura la ei, sunt o firma si una serioasa inca.

mah_one daca esti pustiul care cred eu, te banez !

Nu e nici un pusti

Am vazut profilul lui de pe un site de socializare !

[Vlachs]

Nu e nici un pusti

Am vazut profilul lui de pe un site de socializare !

Sunt 90% sigur ca este vorba de un pusti pe nume gabi(isi spunea gabytzu sau ceva de genu)

[dekeeu]

Tu esti sigur ca si cerul e rosu daca nu iti convine culoarea. Spre informarea ta nu este un pusti si din cate am apucat sa discut cu el mi-am dat seama ca este un baiat matur si inteligent si cu siguranta nu v-ar minti in legatura cu acest subiect (sincer, de ce ar face-o ? ) . Eu zic sa ii acordati putina incredere, ca nu doare.

[io.kent]

Citind totul cu atentie, .Mi-am iesit din minti, ma intorc in 5 minute...

[mah_one]

Imi pare rau ca am postat aici, chiar mi-a zis unul sa nu postez nimic aici ca vor fi care nu o sa creada si ca sunt multi care comenteaza aiurea.

Citind totul cu atentie, .Mi-am iesit din minti, ma intorc in 5 minute...

io.kent, tu chiar crezi ca intereseaza pe cineva ca ai citit 2 pagini si ca ai obosit?

Edited May 30, 2013 by mah_one

[robertutzu]

Imi pare rau ca am postat aici, chiar mi-a zis unul sa nu postez nimic aici ca nu o sa ma creada nimeni si ca sunt multi care comenteaza aiurea.

io.kent, tu chiar crezi ca intereseaza pe cineva ca ai citit 2 pagini si ca ai obosit?

mah_one nu stiu de ce concret dar eu te cred, poate cand ai sa vii cu video-ul se vor lamuri toti, stai chill si posteaza

[Vlachs]

Tu esti sigur ca si cerul e rosu daca nu iti convine culoarea. Spre informarea ta nu este un pusti si din cate am apucat sa discut cu el mi-am dat seama ca este un baiat matur si inteligent si cu siguranta nu v-ar minti in legatura cu acest subiect (sincer, de ce ar face-o ? ) . Eu zic sa ii acordati putina incredere, ca nu doare.

O sa vedem, daca gasesc log-ul...il banez direct.

Edit: Sorry mah_one, mai este un user care are username-ul foarte asemanator cu al tau, e fara un caracter, scuze pentru confuzie.

Edited May 30, 2013 by Vlachs

[akkiliON]

Ai mai primit raspuns ca or fixat problema mah_one ?

[mah_one]

Am primit pe draq, la faza cu billsafe.de nu vor sa ma lamureasca.

Au incercat sa ma prinda la faza cu luatul cc-urilor in plain text, iar eu am pus punctul pe "i", i-am intrebat daca pot face disclosure, iar nu ma mai baga in seama.

La un Csrf din noiembrie anul trecut pe care l-au reparat cam intr-o luna, nici email-ul de la mine nu il mai au cu report-ul.

La problema cu delete any account, au tacut pana acum o saptamana cand mi-au zis ca din video reiese ca ar fi fost o problema, dar nu o mai pot reproduce. Eu deja am facut doua demonstratii, lui domnul.do si lui toshiba (dar ce pot sa fac).

In schimb au tinut sa ma felicite pentru auth bypass, au reparat in 2 zile de cand au vazut email-ul meu.

Mi-au mai validat un brute force attack, desi ei zic clar ca nu se califica acest tip de problema (probabil si-au dat si ei seama ca nu poate sa zica ca nu e problema din moment ce eu faceam cate request-uri vroiam la ei pe un anumit cont, iar ei nu ma blocau in vreun fel).

Mi-au mai validat si un important info disclosure, oricum nu are importanta ca e important, fiindca ei platesc aceeasi suma pentru orice info disclosure.

Cam astea sunt partile rele si partile bune.

[akkiliON]

Nu se prea merit? s? cau?i atât la ei dac? sunt a?a de neserio?i

Iar pe information disclosure dau foarte pu?in ?i pe XSS-uri !

M?car s? fi pus pe un XSS in domeniu sau subdomeniu s? prime?ti 1000 $ !

Iar pe Information Disclosure = 2000 $ !

Acuma nu vreau s? zic c? Paypal e Google ! Dar poate s? ofere mai mult la câ?i bani au !

Edited June 28, 2013 by akkiliON

[1337]

Nu se prea merit? s? cau?i atât la ei dac? sunt a?a de neserio?i

Iar pe information disclosure dau foarte pu?in ?i pe XSS-uri !

M?car s? fi pus pe un XSS in domeniu sau subdomeniu s? prime?ti 1000 $ !

Iar pe Information Disclosure = 2000 $ !

Acuma nu vreau s? zic c? Paypal e Google ! Dar poate s? ofere mai mult la câ?i bani au !

Gandeste-te ca paritatea euro:dolar e la fel in sistemul lor de exchange valutar.

Deci Paypal > Google la bani.

Plus taxele enorm de mari.

Am raportat un XSS in paypal-community.com in ianuarie, mi-a venit raspunsul acum o saptamana, nici astazi nu sunt pe pagina "Honorable Mention".Felicitari inca o data mah_one.

Daca e ala din spell check da!

Edited June 28, 2013 by 1337

[akkiliON]

E ala care l-am gasit si eu ? Acela care mi-a spus ca e duplicate si care nu l-au rezolvat ) ?? Sau ai gasit altu

Edited June 28, 2013 by akkiliON

[SKYNET32]

nu ne pui si noua videoul in care faci bypass la auth daca tot l-au rezolvat?