• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2

Всем Салам. Много времени прошло с начала первой части. В последнее время не было желания вообще что-либо написать. И за этот период накопилось очень много, разных и интересных кейсов из Bug Bounty.

will-work-food-character-people-homeless-holding-sign_10045-185.jpg


Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о недавно открытой программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5. И вот какие плюсы, если получать бонусами.
  • В полтора раза больше
  • Огромное количество бонусов и карта становится платиновой
  • А это бесплатный абонемент на кофе
  • Всякие плюшки на дни рождения
  • И возможность обменять бонусы на авиа мили Аэрофлота
Баги, которые я нашел подробно я описать не могу, пока еще. Но если в общем, то за этот период было найдено 8 багов на 6 900 000 млн бонусов.

Screenshot_1.png

  • Несколько IDOR, один из которых очень критический
  • Слив информации о пользователях
  • Манипулирование текстами SMS
  • CSRF уязвимости (захват аккаунта)
  • XSS уязвимости
Выплаты не сильно большие, но для ритейла в РФ думаю очень даже неплохие суммы.
И я также выше упоминал, что можно будет поучаствовать, да, программа будет длиться до 1 июня этого года. Скоуп достаточно большой и проект простой для изучения в отличии от какой-нибудь блокчейн платформы, если хорошенько постараться можно найти еще кучу багов. За подробностями сюда:

Найденные уязвимости планирую разобрать чуть позже, когда уже все исправят.
А в следующей части подробно разберем такой тип уязвимостей, как IDOR. Может казаться, что это простая уязвимость, но это совсем не так. Есть очень много разных случаев, где казалось бы, как тут может быть IDOR, но он есть.
Всем удачи.
 

explorer

Platinum
05.08.2018
1 080
2 470
BIT
0
Маленький нюанс:

Вознаграждение выплачивается в течение 20 (двадцати) рабочих дней с момента подтверждения наличия уязвимости уполномоченными сотрудниками Компании, переводом денежных средств на указанный в заявлении банковский счёт, при условии подписания лицом, обнаружившим уязвимость, следующих документов (а также при условии соблюдении всех остальных положений оферты): акта оказанных услуг, заявления на выплату вознаграждения, согласия на обработку персональных данных в офисе Компании по адресу: г. Москва, Кутузовский проспект, д.36, стр.6. Наличие паспорта в целях удостоверения личности при выплате вознаграждения обязательно.

То есть если ты живёшь на Камчатке или ещё где, слетай-ка в Москву, да не попади под карантин, или к ментам в кутузку. В общем тема больше для москвичей.
 
  • Нравится
Реакции: szybnev, zakrush и JoY_MnK

r0hack

DAG
Gold Team
29.09.2017
522
1 088
BIT
0
Маленький нюанс:

Вознаграждение выплачивается в течение 20 (двадцати) рабочих дней с момента подтверждения наличия уязвимости уполномоченными сотрудниками Компании, переводом денежных средств на указанный в заявлении банковский счёт, при условии подписания лицом, обнаружившим уязвимость, следующих документов (а также при условии соблюдении всех остальных положений оферты): акта оказанных услуг, заявления на выплату вознаграждения, согласия на обработку персональных данных в офисе Компании по адресу: г. Москва, Кутузовский проспект, д.36, стр.6. Наличие паспорта в целях удостоверения личности при выплате вознаграждения обязательно.

То есть если ты живёшь на Камчатке или ещё где, слетай-ка в Москву, да не попади под карантин, или к ментам в кутузку. В общем тема больше для москвичей.
Не, необязательно туда ходить. Можно просто заполнить и отправить на почту.
Я прямо в Adobe все заполнил и отправил.
 
  • Нравится
Реакции: szybnev

littleV

One Level
15.03.2017
4
0
BIT
0
Если в рубли превращать, то бонусы / 100.
А в статье писал: "Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5."
Дак все же где истина? 6.900.00 - это бонусы, которые (1.5 бонус = 1 рубль) или же "бонусы /100", т.е. (100 бонусов = 1 рубль).
Разница огромная.
 

puni359

Platinum
28.03.2020
17
66
BIT
9
А как ты доказываешь им , что у них есть уязвимость и ты её использовал?
 

r0hack

DAG
Gold Team
29.09.2017
522
1 088
BIT
0
А в статье писал: "Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5."
Дак все же где истина? 6.900.00 - это бонусы, которые (1.5 бонус = 1 рубль) или же "бонусы /100", т.е. (100 бонусов = 1 рубль).
Разница огромная.
На скрине отлично видно, что это бонусы. Упоминания, что это рубли нету.
Да, сумма умножается на 1.5, тоже на сайте, ссылку даже скинул.
А как формируются бонусы, все есть на офф сайте. Или вам нужно все разжевывать и копипасть официальные описания сюда?

А как ты доказываешь им , что у них есть уязвимость и ты её использовал?
Демонстрирую, что она есть. Для примера,
 

mrOkey

Grey Team
14.11.2017
967
976
BIT
0
Это все ещё самопиар))
Возвращайся с ресерчами
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!