Основы этичного веб-хакинга (перевод)
4. Манипуляции с Signal на HackerOne
Сложность: Низкая
Url: hackerone.com/reports/XXXXX
Ссылка на отчет: https://hackerone.com/reports/106305¹⁹
Дата отчета: December 21, 2015
Выплаченное вознаграждение: $500
Описание:
В конце 2015 HackerOne представили новую функциональ-
ность своего сайта, названную Signal. Вкратце, она помога-
ет определить эффективность предыдущих отчетов хакера о
уязвимостях после того, как эти отчеты были закрыты. Здесь
важно заметить, что белые хакеры могут закрывать свои соб-
ственные отчеты на HackerOne, если считают, что результат не
изменит их Репутацию и Signal…
Как вы могли догадаться, при тестировании этой функцио-
нальности белый хакер обнаружил, что она была воплощена
некорректно и позволяла автору отчета (белому хакеру) со-
здавать отчет для любой команды, закрывать его и получать
увеличение Signal.
Вот и все.
Выводы
Хотя описание довольно краткое, нельзя переоце-
нить выводы, проявляйте внимание к новой
функциональности! Когда сайт внедряет но-
вую функциональность, это как свежее мясо для
белых хакеров. Новая функциональность предо-
ставляет возможность исследовать новый код и
искать баги. То же самое было и с Shopify Twitter
CSRF и XSS-уязвимостями Facebook. Чтобы не
пропускать большую часть нововведений, стоит
изучить компании и подписаться на их блоги,
чтобы получать уведомления, когда они выпус-
кают что-то новое. А затем тестировать.
#42612 в Разное
#1029 в Бизнес-литература
#5066 в Развитие личности
хакер, хакинг, основы этичного хаки...
16+
Отредактировано: 08.03.2019
Добавить в библиотеку 