Jump to content
malsploit

O surpriza placuta

Recommended Posts

Acum cateva zile am gasit niste vulnerabilitati intr-un site de plati online. Initial am descoperit ca site-ul respectiv isi ia codurile captcha dintr-un fisier txt care continea ~1k de cuvinte random. Am mers putin mai departe si am gasit un director /fileadmin/ care continea extrem de multe fisiere si directoare. Acolo am descoperit si un director log/ care continea logurile de acces. In acest director era si un fisier intranet.log in care erau intregistrate logurile de acces din reteaua intranet.

Am mai gasit si un alt director /intranet care continea documente interne ale companiei, strategii de marketing, date personale ale angajatilor etc. Am dat si peste niste xss-uri, un lfi. Am descoperit si un formular unde puteai urca anumite tipuri de fisiere. Nu am cautat mai multe la acel moment.

Am incercat sa le cer celor care se ocupa de twitter si de facebook-ul companiei un e-mail la care sa pot raporta vulnerabilitatile. Mi-au spus sa raportez la info@*.com Am trimis mail acolo cu un raport de 2 pagini si 2 zile nu a raspuns nimeni.

Am publicat pe blogul personal un video cenzurat si le-am trimis postarea printr-un mesaj pe facebook. In 20 de minute am avut vreo 300 de vizualizari pe blog de la niste ip-uri care apartin companiei. Am fost contactat de CISOul lor si mi-a cerut un numar de telefon. I-am spus ca nu vorbesc foarte bine engleza si ca ar trebui sa vorbim pe e-mail. I-am explicat unde sunt vulnerabilitatile si cum sa le repare. Eu ii spuneam si in cateva secunde era reparat :)) Chiar era un sentiment placut.

Dupa ce Au fost reparate, primesc urmatorul mesaj:

Dear Alexandru,

a big thank you for providing us all your findings and your great corporation.

Even we don’t have a bounty program, this situation was new for us and we have decided to reward your research.

We kindly ask you to delete all sensitive information (e.g. intranet data, youtube video, ..) to these vulnerabilities in order to protect our employees and customers.

Your research showed us that we need a better contact point and structure process to deal with such situation and we will address this in the future.

Can you please send us a confirmation considering the sensitive information?

Regards,

christoph

Dupa ce am sters video-ul, am primit alt e-mail:

Dear Alexandru,

Thank you for effort.

As promised, we want to reward your research and provide you with 1.000 €

Good luck!

Regards,

christoph

A doua zi dimineata aveam banii in cont. Data viitoare cand raportati ceva, scrieti un raport care sa arate frumos, fiti amabili, incercati sa luati legatura cu cei care se ocupa de securitate si sigur veti avea de castigat :)

  • Upvote 1
Link to comment
Share on other sites

Felicitari, in primul rand. :)

In al doilea, poti posta structura raportului? Sau criteriile de care tii cont in momentul care faci un raport de genul.

Ar fi util pentru multi (cel putin pentru mine, ar fi). Merci.

Nu e vorba de o anumita structura. Pur si simplu depinde de la caz la caz. Principala lor problema era faptul ca nu era server-ul corect configurat si se facea directory-listing. Asa am putut sa gasesc si xss si lfi. Le-am explicat cum am gasit vulnerabilitatile, am dramatizat putin impactul asupra clientilor, le-am vorbit chestii generale despre xss, lfi etc

Link to comment
Share on other sites

Felicitari, in primul rand. :)

In al doilea, poti posta structura raportului? Sau criteriile de care tii cont in momentul in care faci un raport de genul.

Ar fi util pentru multi (cel putin pentru mine, ar fi). Merci.

Ideea e sa fi dragut, amabil si sa nu CERI tu recompensa cum am mai vazut la unii pampalici de pe forum , nu dau nume(strongB??) .

Link to comment
Share on other sites

Nu e vorba de o anumita structura. Pur si simplu depinde de la caz la caz. Principala lor problema era faptul ca nu era server-ul corect configurat si se facea directory-listing. Asa am putut sa gasesc si xss si lfi. Le-am explicat cum am gasit vulnerabilitatile, am dramatizat putin impactul asupra clientilor, le-am vorbit chestii generale despre xss, lfi etc

Am inteles. Merci de raspuns si felicitari inca o data. E bine de stiut, pentru ca se acumuleaza experienta.

Link to comment
Share on other sites

Povestea a continuat :) La vreo 2 saptamani, am primit un email de la CISO in care mi se propunea sa testez periodic securitatea site-urilor administrate de catre companie. Le-am zis ca sunt interesat si joi m-am intalnit cu CISO-ul lor la bucuresti si am semnat un contract de consultanta. Am posibilitatea sa fac orice fel de teste, atata timp cat nu pun in pericol infrastructura. Am primit acces la reteaua interna a companiei si chiar am posibilitatea sa fac SE pe angajati. Mi s-a permis sa public ce vulnerabilitati gasesc numai pe blog-ul meu, pe care l-am specificat in contract.

Inainte de data de 5 a fiecarei luni trebuie sa fac un raport in care sa le spun ce am gasit si pana pe data de 10 primesc o anumita suma de bani.

  • Upvote 1
Link to comment
Share on other sites

Felicitari omule! :D Am si eu o intrebare... Am gasit niste vulnerabilitati la doua site-uri mari de media din Romania si vreau sa ii ajut sa le corecteze, doar ca mi-e frica sa le spun. As vrea sa fac un mail asemanator cu al tau, adica sa le arat unde e vulnerabilitatea si modul in care acestia o pot corecta. Sunt sanse sa imi bata mascatii la usa? E legal sa cauti asa vulnerabilitati? :D Multumesc anticipat!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...