Статья Блог начинающего Bug Хантера. Ищем баги за еду. Часть 2

Всем Салам. Много времени прошло с начала первой части. В последнее время не было желания вообще что-либо написать. И за этот период накопилось очень много, разных и интересных кейсов из Bug Bounty.

will-work-food-character-people-homeless-holding-sign_10045-185.jpg


Сегодняшняя тема думаю многим будет интересна и многие смогут поучаствовать при желании. А речь пойдет о недавно открытой программе Bug Bounty от Азбуки Вкуса. И что мне понравилось в данной программе, то что оплату можно получать продуктами, точнее бонусами, которые придут на карту. Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5. И вот какие плюсы, если получать бонусами.
  • В полтора раза больше
  • Огромное количество бонусов и карта становится платиновой
  • А это бесплатный абонемент на кофе
  • Всякие плюшки на дни рождения
  • И возможность обменять бонусы на авиа мили Аэрофлота
Баги, которые я нашел подробно я описать не могу, пока еще. Но если в общем, то за этот период было найдено 8 багов на 6 900 000 млн бонусов.

Screenshot_1.png

  • Несколько IDOR, один из которых очень критический
  • Слив информации о пользователях
  • Манипулирование текстами SMS
  • CSRF уязвимости (захват аккаунта)
  • XSS уязвимости
Выплаты не сильно большие, но для ритейла в РФ думаю очень даже неплохие суммы.
И я также выше упоминал, что можно будет поучаствовать, да, программа будет длиться до 1 июня этого года. Скоуп достаточно большой и проект простой для изучения в отличии от какой-нибудь блокчейн платформы, если хорошенько постараться можно найти еще кучу багов. За подробностями сюда:
Ссылка скрыта от гостей


Найденные уязвимости планирую разобрать чуть позже, когда уже все исправят.
А в следующей части подробно разберем такой тип уязвимостей, как IDOR. Может казаться, что это простая уязвимость, но это совсем не так. Есть очень много разных случаев, где казалось бы, как тут может быть IDOR, но он есть.
Всем удачи.
 
  • Нравится
Реакции: YAF, biizon, Marylin и ещё 4
Нажмите, чтобы раскрыть...
explorer

explorer

Platinum
05.08.2018
1 080
2 475
BIT
0
Маленький нюанс:

Вознаграждение выплачивается в течение 20 (двадцати) рабочих дней с момента подтверждения наличия уязвимости уполномоченными сотрудниками Компании, переводом денежных средств на указанный в заявлении банковский счёт, при условии подписания лицом, обнаружившим уязвимость, следующих документов (а также при условии соблюдении всех остальных положений оферты): акта оказанных услуг, заявления на выплату вознаграждения, согласия на обработку персональных данных в офисе Компании по адресу: г. Москва, Кутузовский проспект, д.36, стр.6. Наличие паспорта в целях удостоверения личности при выплате вознаграждения обязательно.

То есть если ты живёшь на Камчатке или ещё где, слетай-ка в Москву, да не попади под карантин, или к ментам в кутузку. В общем тема больше для москвичей.
 
  • Нравится
Реакции: szybnev, zakrush и JoY_MnK
r0hack

r0hack

DAG
Platinum
29.09.2017
522
1 089
BIT
0
explorer сказал(а):
Маленький нюанс:

Вознаграждение выплачивается в течение 20 (двадцати) рабочих дней с момента подтверждения наличия уязвимости уполномоченными сотрудниками Компании, переводом денежных средств на указанный в заявлении банковский счёт, при условии подписания лицом, обнаружившим уязвимость, следующих документов (а также при условии соблюдении всех остальных положений оферты): акта оказанных услуг, заявления на выплату вознаграждения, согласия на обработку персональных данных в офисе Компании по адресу: г. Москва, Кутузовский проспект, д.36, стр.6. Наличие паспорта в целях удостоверения личности при выплате вознаграждения обязательно.

То есть если ты живёшь на Камчатке или ещё где, слетай-ка в Москву, да не попади под карантин, или к ментам в кутузку. В общем тема больше для москвичей.
Нажмите, чтобы раскрыть...
Не, необязательно туда ходить. Можно просто заполнить и отправить на почту.
Я прямо в Adobe все заполнил и отправил.
 
  • Нравится
Реакции: szybnev
L

littleV

One Level
15.03.2017
4
0
BIT
1
r0hack сказал(а):
Если в рубли превращать, то бонусы / 100.
Нажмите, чтобы раскрыть...
А в статье писал: "Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5."
Дак все же где истина? 6.900.00 - это бонусы, которые (1.5 бонус = 1 рубль) или же "бонусы /100", т.е. (100 бонусов = 1 рубль).
Разница огромная.
 
puni359

puni359

Platinum
28.03.2020
17
68
BIT
11
А как ты доказываешь им , что у них есть уязвимость и ты её использовал?
 
r0hack

r0hack

DAG
Platinum
29.09.2017
522
1 089
BIT
0
littleV сказал(а):
А в статье писал: "Также можно и деньгами, но если бонусами, то это сумма умножается на 1.5."
Дак все же где истина? 6.900.00 - это бонусы, которые (1.5 бонус = 1 рубль) или же "бонусы /100", т.е. (100 бонусов = 1 рубль).
Разница огромная.
Нажмите, чтобы раскрыть...
На скрине отлично видно, что это бонусы. Упоминания, что это рубли нету.
Да, сумма умножается на 1.5, тоже на сайте, ссылку даже скинул.
А как формируются бонусы, все есть на офф сайте. Или вам нужно все разжевывать и копипасть официальные описания сюда?

Penkyzduy сказал(а):
А как ты доказываешь им , что у них есть уязвимость и ты её использовал?
Нажмите, чтобы раскрыть...
Демонстрирую, что она есть. Для примера,
Ссылка скрыта от гостей
 
mrOkey

mrOkey

Well-known member
14.11.2017
967
975
BIT
0
Это все ещё самопиар))
Возвращайся с ресерчами
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ