 |
|
21.11.2021, 12:16
|
|
Постоянный
Регистрация: 18.07.2013
Сообщений: 300
С нами:
6747446
Репутация:
32
|
|
Сообщение от erwerr2321
↑
@crlf
, так шо, они таки сделали официальную ББ?
На уровне общения с техподдержкой в телеге)
Да и этого могло быть достаточно если бы они не переобувались
Я тут еще вспомнил что летом, сообщал о другой cross site scripting
Они ее быстро закрыли и как в случае с RCE сказали что, знали о ней (и нечего не дали)
Что-то много они знают и не закрывают
|
|
|
21.11.2021, 12:47
|
|
Флудер
Регистрация: 19.06.2015
Сообщений: 4,126
С нами:
5738006
Репутация:
147
|
|
Сообщение от WallHack
↑
На уровне общения с техподдержкой в телеге)
Да и этого могло быть достаточно если бы они не переобувались
Я тут еще вспомнил что летом, сообщал о другой
cross site scripting
Они ее быстро закрыли и как в случае с RCE сказали что, знали о ней (и нечего не дали)
Что-то много они знают и не закрывают
Мдэ...
А хуже всего, когда в подобных случаях ещё и наезжают/угрожают!
А-ля " Ты хто такой? Шо те от нас надо? Зойчем ты нас ковыряешь? Канай отсюда, не то в грызло!"
Поэтому, исходя из своего личного опыта и по совету олдов баг хантинга, принял решение больше не связываться с компаниями без BBP! И теперь участвую только в официальных программах!
Бывает, правда, что при исследованиях натыкаешься на баги в 3d party services/apps, и если они out of scope, то иногда приходится самому искать контакты/связываться и всё им объяснять. Некоторые компании благодарят за это не тока письменно. Но эт редко, канешна.
|
|
|
|
21.11.2021, 13:58
|
|
Постоянный
Регистрация: 18.03.2016
Сообщений: 663
С нами:
5344886
Репутация:
441
|
|
Сообщение от erwerr2321
↑
@crlf
, так шо, они таки сделали официальную ББ?
Да вроде нет, не гуглится. Как там говорят, пока гром не грянет...
Сообщение от WallHack
↑
Что-то много они знают и не закрывают
Тут остаётся только верить и не отчаиваться. После N-ного количества раз пердак перестаёт взрываться и подгорать
В любом случае, после фикса планирую обнародовать здесь подробности, заценим
|
|
|
|
21.11.2021, 14:30
|
|
Постоянный
Регистрация: 18.07.2013
Сообщений: 300
С нами:
6747446
Репутация:
32
|
|
Сообщение от crlf
↑
В любом случае, после фикса планирую обнародовать здесь подробности, заценим
Интересно будет посмотреть
|
|
|
|
23.12.2021, 12:09
|
|
Постоянный
Регистрация: 18.03.2016
Сообщений: 663
С нами:
5344886
Репутация:
441
|
|
Пардон за небольшую задержку Попросили немного подождать с публикацией деталей.
Уязвимость была в функционале сортировки офферов. В куки параметре form_filter хранилось сериализованное состояние текущего фильтра, что позволяло совершить атаку вида PHP Object Injection.
Картина осложнялась тем, что привычные классы, для которых есть общеизвестные цепочки, отсутствовали, либо лежали в другом пространстве имён. К счастью, по стандартному пути composer-a ( /vendor/composer/installed.json ), ожидал небольшой сюрприз В виде единственной либы phpseclib. Которая, после небольшого исследования, позволила эскалировать угрозу до Remote Code Execution:
Для любителей поковыряться, в аттаче прилагается небольшая лаба, моделирующая этот кейс. Для крафта цепочки, теперь уже можно воспользоваться PHPGGC, или комплектным скриптом из видео.
Что касается реакции M1-SHOP. Внимательно выслушали, приняли к сведению, поблагодарили и отблагодарили финансово $1k Уязвимость исправили заменой дефолтной сериализации на JSON.
Так же, попутно, был отправлен ещё один отчёт, который оценили как некритичный, с пометкой:
Сообщение от None
...раздел этот у нас обычно запрятан, а тут открыли для внутренних нужд...
И дали на чай, те самые "2000 руб" которые поджарили пердак ТС-у
В целом, по первоначальной ситуации, кто прав, кто виноват, судить не возьмусь. Но у меня, по сотрудничеству, остались только положительные впечатления. А вывод таков, что с багами ниже чем RCE на проде, ребят нет смысла беспокоить и не стоит тешить себя надеждами |
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
