Freelancer - session puzzling

[mah_one]

Buna,

Am gasit un bug rar, session puzzling, in freelancer.com, core website.

Am primit un whitehat badge pe contul meu de freelancer si imi vor mai da un tricou.

Video P.o.C.:

[UnixDevel]

ce chestie acelasi bug il gasisem si eu ,dar am avut impresia ca e doar de la pc-ul meu ...cei drept nu am stat sa inspectez mai mult ... ,oricum GG

[Domnul.Do]

Foarte interesant acest bug , toate respectele mele domnule mah_one !

Am raportat si eu 2 XSS-uri : unu in domeniul principal si mai unu care se regasea in orice sub domeniu .

In cat timp au raspuns/au confirmat ca o sa primesti acel whitehat badge?

[mah_one]

in 3 ore i s-a facut un patch

a doua zi am primit badge-ul

[malsploit]

Felicitari!

Cand ai timp, te rog sa faci un tutorial in care sa prezinti tipul asta de vulnerabilitate.

[mah_one]

Nu are rost sa spun cum se face "apa calda", detalii gasiti aici:

Security Tools Benchmarking: Session Puzzling and Session Race Conditions