Jump to content
nacks

(XSS) att.com

By nacks, in Bug Bounty

Recommended Posts

nacks Newbie

nacks

Posted
Posted

Target: AT&T

URL: att.com

Tested on: Win7 – Mozilla Firefox 22.0

PoC:

8qzv.jpg

1.Raportat ...

We have been unable to reproduce the issue that you have reported using the steps provided.
We appreciate your report and encourage you to report future findings.

Sincerely,

AT&T Bug Bounty Team

2.Trimis video si astept raspuns ...

Link to comment
Share on other sites
nacks Newbie

nacks

Posted
  • Author
Posted

Au, dar nu am reusit sa trimit raportul din pagina lor ... asa ca a trebuit sa trimit un mail la un alt departament care a trimis mailul unde trebuie ... cred :D

As a convenience to you we are forwarding this report to the ATT BugBounty mailbox for further processing.

Link to comment
Share on other sites
nacks Newbie

nacks

Posted
  • Author
Posted
Dac? le-ai trimis de pe mail ai f?cut un câcat !

Asa am raportat ?i eu 2 XSS-uri ?i nu au raspuns ?i le-au reparat ! Nici un mul?umesc nu am primit înapoi de la ei.

ON:

Felicit?ri

Asa cum spuneam, nu am reusit sa trimit din aplicatia lor (primeam o eroare). Am vorbit pe mail si mi au spus sa le trimit acolo si vor trimite ei mai departe. E foarte posibil sa fie asa cum spui tu ptc discutiile au mers bine pana le am trimis vulnerabilitatea, iar apoi au uitat sa raspunda la mail :|

Link to comment
Share on other sites
Domnul.Do Newbie

Domnul.Do

Posted
Posted (edited)

Daca nu esti inscris in "Developer API program" care te costa ~ 100$ , raportul tau nu o sa il valideze si nici nu o sa primesti cine stie ce feedback .

Eu am gasit in fiecare domeniu a lor , erau peste 8 XSS-uri si nu am vazut nimic pana in ziua de azi .

Oricum, Felicitari!

OffTopic:

Nu are rost sa cauti in AT&T si Yandex , iti spun din propria experienta.

Edited by Domnul.Do
Link to comment
Share on other sites
nacks Newbie

nacks

Posted
  • Author
Posted
Daca nu esti inscris in "Developer API program" care te costa ~ 100$ , raportul tau nu o sa il valideze si nici nu o sa primesti cine stie ce feedback .

Eu am gasit in fiecare domeniu a lor , erau peste 8 XSS-uri si nu am vazut nimic pana in ziua de azi .

Oricum, Felicitari!

OffTopic:

Nu are rost sa cauti in AT&T si Yandex , iti spun din propria experienta.

Da, stiu ca trebuie sa platesti pt a te inscrie in acel program ... MS de sfat :)

Link to comment
Share on other sites
florin_darck Newbie

florin_darck

Posted
Posted
OFF:

Nu c?uta?i vulnerabilit??i nici în Yandex. Ca s? nu v? trezi?i c? nu v? r?spund !

Am citit undeva dar numai ?in minte unde c? sunt neserio?i !

Am vazut pe twitter cativa care au primit bani de la yandex si cativa care se plangeau ca nu mai ajung banii. Seriosi, neseriosi unii tot au primit banii

Link to comment
Share on other sites
  • Active Members
akkiliON Enthusiast

akkiliON

Posted
  • Active Members
Posted (edited)
Am vazut pe twitter cativa care au primit bani de la yandex si cativa care se plangeau ca nu mai ajung banii. Seriosi, neseriosi unii tot au primit banii

Sigur care au primit reward nu cred c? au fost pe ni?te XSS-uri sau altele mai minore. Acum nu ?tiu ce s? spun. Dar majoritatea ?i-au luat ?eap?. Iar eu zic c? nu se merit? dac? mult? lume se plânge c? nu au primit nimic. Î?i pierzi timpul cu ei.

Edited by akkiliON
Link to comment
Share on other sites
yo20063 Newbie

yo20063

Posted
Posted

Poate gresesc, dar in cazul asta eu as dovedi cat de periculoasa poate deveni acea vulnerabilitate in mainile cui nu trebuie, si le-as spune sa incerce sa tina cont de cine si ce trimite....macar cu un Multumesc. Asa, ca sa nu aiba surprize neplacute pe viitor :)

Stiu ca a devenit un forum de "mistocari", daca nu va convine ce am scris, va rog nu bagati in seama ;)

Link to comment
Share on other sites
nacks Newbie

nacks

Posted
  • Author
Posted

Raspuns final:

Dear *** ****,

We are pleased to let you know that AT&T has successfully remediated the vulnerability you disclosed. 

We truly appreciate and want to recognize your help in improving the security of AT&T by listing your name on the AT&T Bug Bounty Hall of Fame, if it is not already included. Please let us know how you would like your name to appear on our AT&T Bug Bounty Hall of Fame. By providing the response, you are granting AT&T permission to publish your name as a contributor.

Additionally, you will be considered for a 1Q14 Top 10 Reporter Award recognition which, if selected, will provide you with a monetary payout. You will be notified in a separate communication if you have been selected.

Thank you again for your participation in the AT&T Bug Bounty Program. 

Sincerely,

AT&T BugBounty Team

Link to comment
Share on other sites
BlackHats Newbie

BlackHats

Posted
Posted

Am raportat si eu un Content Source Disclosure si vreo 2 XSS-uri si am primit raspuns de la ei dupa 7 luni de zile. Au spus ca sunt valabile pentru un bonus de 400$ toate si ca trebuie sa le completez documentele. Le-am completat pe toate (imi spuneau ca daca nu le trimit in maxim 24 sau 48 de ore se anuleaza plata -- adica eu astept peste jumatate de an si ei au pretentia ca in maxim 48 de ore sa fiu prompt -- super). Oricum le-am trimis in 24 de ore tot, dupa care ma anunta dupa 1 luna ca un document cu datele bancare nu a fost completat. Si daca nu le trimit in 24 de ore acel document imi anuleaza plata. Evident ca nu imi verific din ora in ora mail-ul (dupa 2 zile m-am lasat pagubas) si i-am anuntat ca s-a facut o greseala de la ei. Sa verifice bine. Le-am facut din nou forward la mail-ul trimis anterior in care se observa foarte clar ca nu era nimic in neregula.

Evident ca nu au raspuns. Am zis sa fiu macar trecut in Hall of Fame dar nici aia nu au facut. Sunt niste javre ordinare ce se scarpina in cur si cand aud de 100 de $.

Link to comment
Share on other sites
  • Active Members
akkiliON Enthusiast

akkiliON

Posted
  • Active Members
Posted
Am raportat si eu un Content Source Disclosure si vreo 2 XSS-uri si am primit raspuns de la ei dupa 7 luni de zile. Au spus ca sunt valabile pentru un bonus de 400$ toate si ca trebuie sa le completez documentele. Le-am completat pe toate (imi spuneau ca daca nu le trimit in maxim 24 sau 48 de ore se anuleaza plata -- adica eu astept peste jumatate de an si ei au pretentia ca in maxim 48 de ore sa fiu prompt -- super). Oricum le-am trimis in 24 de ore tot, dupa care ma anunta dupa 1 luna ca un document cu datele bancare nu a fost completat. Si daca nu le trimit in 24 de ore acel document imi anuleaza plata. Evident ca nu imi verific din ora in ora mail-ul (dupa 2 zile m-am lasat pagubas) si i-am anuntat ca s-a facut o greseala de la ei. Sa verifice bine. Le-am facut din nou forward la mail-ul trimis anterior in care se observa foarte clar ca nu era nimic in neregula.

Evident ca nu au raspuns. Am zis sa fiu macar trecut in Hall of Fame dar nici aia nu au facut. Sunt niste javre ordinare ce se scarpina in cur si cand aud de 100 de $.

Eu dup? ce am primit banii de la ei, mi-or cerut s? le trimit mail (nu e-mail) cu formularul W8-BEN completat ?i semnat de mine.

Le-am zis c? îl voi "trimite".

Link to comment
Share on other sites
BlackHats Newbie

BlackHats

Posted
Posted
Eu dup? ce am primit banii de la ei, mi-or cerut s? le trimit mail (nu e-mail) cu formularul W8-BEN completat ?i semnat de mine.

Le-am zis c? îl voi "trimite".

Nu inteleg de ce ai simtit sa imi atragi atentia cu "greseala" mea care defapt nici nu exista. Am scris tot mail! Dar daca scriam e-mail era la fel de corect. "I sent a email/e-mail/mail/electronic mail | it's the same shit".

On: Nu mi-au trimis nici un ban. Au zis ca nu am completat formularul W8-BEN. Dar le-am aratat ca nu a existat aceasta problema. Si nu au mai raspuns. Cum ziceam sunt niste jigodii ce au un sistem de plata dezastruos.

Link to comment
Share on other sites
  • Active Members
akkiliON Enthusiast

akkiliON

Posted
  • Active Members
Posted (edited)
Nu inteleg de ce ai simtit sa imi atragi atentia cu "greseala" mea care defapt nici nu exista. Am scris tot mail! Dar daca scriam e-mail era la fel de corect. "I sent a email/e-mail/mail/electronic mail | it's the same shit".

On: Nu mi-au trimis nici un ban. Au zis ca nu am completat formularul W8-BEN. Dar le-am aratat ca nu a existat aceasta problema. Si nu au mai raspuns. Cum ziceam sunt niste jigodii ce au un sistem de plata dezastruos.

Eu m? refeream la cei de la AT&T c? sunt ni?te prosti.

Mai ales la faza asta:

Le-am completat pe toate (imi spuneau ca daca nu le trimit in maxim 24 sau 48 de ore se anuleaza plata -- adica eu astept peste jumatate de an si ei au pretentia ca in maxim 48 de ore sa fiu prompt -- super)
Please mail (not e-mail) your original signed W-8 form to:

AT&T

[numele lu' aia/?la] – Room: XX-G-01

909 Chestnut Street

Saint Louis, MO 63101.

Thanks

AT&T Bug Bounty Team

Edited by akkiliON
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...