dekeeu Posted August 27, 2013 Report Posted August 27, 2013 (edited) Title: Paypal Stored xssAffected Product: PaypalDate: 27.08.2013Severity: HighStatus: DUP.POC: Edited August 28, 2013 by dekeeu 1 Quote
Active Members akkiliON Posted August 27, 2013 Active Members Report Posted August 27, 2013 OFF:NaNaNaNaNaNa ON: Congrats Quote
malsploit Posted August 27, 2013 Report Posted August 27, 2013 Ai gresit dataData viitoare evita off-topicul. Puteai sa-i trimiti un mesaj privat si rezolva problema! Quote
Darkb0t Posted August 27, 2013 Report Posted August 27, 2013 CONGRATS TOSHIB4AS YOU THINK THEY GIVE YOU REWARD?MY REWARD FOR 2 XSS PerfectMoney WILL BE IN THE $ 1000PAYPAL MUST ENFORCE MORE THAN PM Quote
1337 Posted August 28, 2013 Report Posted August 28, 2013 (edited) Fa alt mail si trimite-le vulnerabilitatea de acolo.O sa-ti zica ca nu e duplicate.Poate sa confirme si un membru de pe forum chestia asta. Edited August 28, 2013 by 1337 Quote
io.kent Posted August 28, 2013 Report Posted August 28, 2013 Sa le dau la Muie, jegosi sunt, oamenii astia, le trebuie facuta o buba dar adanca asa sar invata minte.. Quote
Nytro Posted August 28, 2013 Report Posted August 28, 2013 Faceti-le disclosure la alea duplicate. Mai exact, nu cred ca le ia lor 2 ani sa repare un XSS. Deci de multe ori nu cred ca e vorba de vreun duplicat. Ameninta ca il faci public, vezi macar ce zic. Quote
malsploit Posted August 28, 2013 Report Posted August 28, 2013 O sa iau un domeniu si un host, cu banii de la paypal, si o sa public tot ce zic ei ca e duplicat. Cine mai vrea poate sa mai contribuie cu poc-uri. Pana pe vineri, sambata sper sa fie gata platforma. Quote
TheTime Posted August 28, 2013 Report Posted August 28, 2013 Ok, ca sa intaresc putin ceea ce a spus Nytro, cred ca singura modalitate de a-i forta sa va valideze bugurile este sa ii speriati putin.Vad ca ai reusit sa pui acolo o poza cu nyang cat, poate altul ar fi fost impactul daca ai fi pus acolo un iframe catre o copie html a paginii lor de login si un alert pe onclick cu un mesaj de genu' "Wait! Don't login, this is scam webpage on your domain and can be exploited because of that fu*kin' XSS!".Daca vulnerabilitatea va permite, oferiti-le un P.O.C cat mai de speriat, ca sa zic asa. Pacat ca tot mai multe companii au inceput sa invalideze aiurea bugurile. Quote
Nytro Posted August 28, 2013 Report Posted August 28, 2013 Sau cititi asta: Files ? Packet StormSi faceti cateva plati de pe conturile altora, luati-va o ciocolata Quote
mah_one Posted August 28, 2013 Report Posted August 28, 2013 (edited) Sa va dau un sfat cu astia de la paypal, aveti grija sa nu trimiteti 3,4 bug-uri intr-un singur report. Daca gasesc unul duplicate sau invalid, iar restul valide, vei primii invalid pe tot report-ul. Va zic din experienta.Pe lista care tot o trimit cu statusul la bug-uri, am 44 de iregistrari (ele sunt mult mai multe, fiindca am raportat mai multe odata). Vreau sa zic ca am exact 20 de inregistrari (Valid si Paid).Am ratat top 10 fiindca nu le-am trimis rapoarte separate. Spre exemplu am un bug la care si ei au acceptat "IMPORTANT CSRF vulnerabilities + XSS ". Intr-o pagina aveam CSRF(puteam sa adaug email, telefon si adresa) si un Stored XSS. In raport le-am mai trimis o problema(cum sa fur adrese(adresa unde sta user-ul, EX: strada Lalelelor, etc) random). So, erau 4 problem valide, ei au considerat ca sunt doar doua probleme -> XSS si CSRF, dar au platit numai 1000$, iar problema cu furatul de adrese, nu au mai zis nimic.Cum draq sa dai 1000$ pe un CSRF prin care adaugi o adresa de email, adresa unde sta user-ul si numar de telefon + un Stored XSS la adresa? (toate erau request-uri diferite). Edited August 28, 2013 by mah_one Quote
io.kent Posted August 28, 2013 Report Posted August 28, 2013 akkiliON iti mananci linistea, cu niste persoane care se rad de munca ta, iti dau un sfat, intr-o lume nebuna, nu trebuie sa fi sanatos, asa ca fa-le public, sa se invete minte, jegosi, ca si mie in 2010, la fel mi-au zis, de atunci nu am mai primit nimic de la eii, si nu lam facut public, au reparat repede si sa uitat de treaba aia.. Sunt jegosi, se rad de munca noastra, MUIE lor.. Quote
Shin Posted August 28, 2013 Report Posted August 28, 2013 Astea-s toate 100% gasite manual sau ati folosit ceva tools? Quote
Active Members akkiliON Posted August 28, 2013 Active Members Report Posted August 28, 2013 Ce tool-ul dracului s? folosesc. M? pi? pe ei. Quote
malsploit Posted August 28, 2013 Report Posted August 28, 2013 ar iesi frumos un articol pe blogul rst. Quote
io.kent Posted August 28, 2013 Report Posted August 28, 2013 Abia astept sa vad, cu o sa se planga, Muistii si sa le pice fata, aia de tractoristi cu insolatie, doamne daca am boala pe cineva, sigur e pe eii Quote
dekeeu Posted August 28, 2013 Author Report Posted August 28, 2013 (edited) Faceti-le disclosure la alea duplicate. Mai exact, nu cred ca le ia lor 2 ani sa repare un XSS. Deci de multe ori nu cred ca e vorba de vreun duplicat. Ameninta ca il faci public, vezi macar ce zic.Intrebare si raspuns:Nu vreau sa am probleme cu ei, mai am si bani de primit, eu cred ca ii las asa . Edited August 28, 2013 by dekeeu Quote
Active Members akkiliON Posted August 28, 2013 Active Members Report Posted August 28, 2013 Intrebare si raspuns:A?a mi-a spus ieri ?i mie ! Quote
io.kent Posted August 28, 2013 Report Posted August 28, 2013 you must enable cookies in your browsertranslated of that error:Cookies are disablederror messageYou must enable cookies to be able to pay at checkout.Cookies are enabled unprotect paymentsCookies must be enabled for many of the PayPal feature to work. Please enable cookies in your browser. Then go back and pay again with PayPal. Quote