Forwarded from Evening bug reports
Всем привет:)
В этом году я решил немного рассказать про свой опыт bug bounty на KazHackStan)
Дисклоузы заносим😉
В этом году я решил немного рассказать про свой опыт bug bounty на KazHackStan)
Дисклоузы заносим😉
🔥13❤2
Media is too big
VIEW IN TELEGRAM
Sweeping the Blockchain: Unmasking Illicit Accounts in Web3 Scams 😰(перевод)
👍5
☣️ Один HTTP-запрос для DoS, или как CVE-2025-3600 может превратиться в RCE
Вчера watchTowr Labs опубликовали разбор свежей уязвимости CVE-2025-3600 в Progress Telerik UI для ASP.NET AJAX — одной из самых популярных библиотек для веб-разработки на .NET. Официально это DoS, но реальность куда интереснее.
🔎 В чем суть? Уязвимость типа Unsafe Reflection позволяет атакующему контролировать параметр
💥 DoS из коробки: Используя гаджет из .NET Framework (
⚡️ Но это не всё! Исследователи показали, что в зависимости от окружения уязвимость может привести к Remote Code Execution. Как? Конструкторы без аргументов могут:
- Читать данные из query-параметров, cookies или headers
- Десериализовать файлы из предсказуемых путей
- Регистрировать небезопасные assembly resolvers в
🎯 Живой пример: watchTowr продемонстрировали pre-auth RCE-цепочку в Sitecore Experience Platform. CVE-2025-3600 использовалась для триггера уязвимого assembly resolver, который загружает вредоносную DLL с path traversal. В комбинации с CVE-2025-34509 (bypass аутентификации) получается полноценный RCE без авторизации.
📊 Масштаб катастрофы: Библиотека используется миллионами окружений по всему миру. Простой поиск в FOFA показывает ~185,000 результатов. Уязвимость существовала 14 лет. Telerik UI уже имеет историю критических багов (CVE-2017-9248, CVE-2019-18935), которые до сих пор активно эксплуатируются.
🛡 Что делать? Progress выпустила патч. Проверьте, используется ли Telerik UI в ваших приложениях (запрос к
📖 Хотите узнать все технические детали, увидеть PoC и разобрать RCE-цепочку? Полный разбор с диаграммами и кодом ждет вас в PDF-файле!
🔗 Оригинальное исследование: https://labs.watchtowr.com/more-than-dos-progress-telerik-ui-for-asp-net-ajax-unsafe-reflection-cve-2025-3600/
Вчера watchTowr Labs опубликовали разбор свежей уязвимости CVE-2025-3600 в Progress Telerik UI для ASP.NET AJAX — одной из самых популярных библиотек для веб-разработки на .NET. Официально это DoS, но реальность куда интереснее.
🔎 В чем суть? Уязвимость типа Unsafe Reflection позволяет атакующему контролировать параметр
prtype в запросе к /Telerik.Web.UI.WebResource.axd. Приложение передает этот параметр в Type.GetType() и инициализирует указанный класс через его публичный конструктор без аргументов. Звучит безобидно? Не совсем.💥 DoS из коробки: Используя гаджет из .NET Framework (
System.Management.Automation.Remoting.WSManPluginManagedEntryInstanceWrapper), можно вызвать краш приложения одним HTTP-запросом. Когда Garbage Collector соберет объект, финализатор попытается освободить неинициализированный handle — необработанное исключение, и приложение падает. Один запрос каждые 2 минуты держит сервис в офлайне.⚡️ Но это не всё! Исследователи показали, что в зависимости от окружения уязвимость может привести к Remote Code Execution. Как? Конструкторы без аргументов могут:
- Читать данные из query-параметров, cookies или headers
- Десериализовать файлы из предсказуемых путей
- Регистрировать небезопасные assembly resolvers в
AppDomain.AssemblyResolve🎯 Живой пример: watchTowr продемонстрировали pre-auth RCE-цепочку в Sitecore Experience Platform. CVE-2025-3600 использовалась для триггера уязвимого assembly resolver, который загружает вредоносную DLL с path traversal. В комбинации с CVE-2025-34509 (bypass аутентификации) получается полноценный RCE без авторизации.
📊 Масштаб катастрофы: Библиотека используется миллионами окружений по всему миру. Простой поиск в FOFA показывает ~185,000 результатов. Уязвимость существовала 14 лет. Telerik UI уже имеет историю критических багов (CVE-2017-9248, CVE-2019-18935), которые до сих пор активно эксплуатируются.
🛡 Что делать? Progress выпустила патч. Проверьте, используется ли Telerik UI в ваших приложениях (запрос к
/Telerik.Web.UI.WebResource.axd покажет это), и обновитесь как можно скорее.📖 Хотите узнать все технические детали, увидеть PoC и разобрать RCE-цепочку? Полный разбор с диаграммами и кодом ждет вас в PDF-файле!
🔗 Оригинальное исследование: https://labs.watchtowr.com/more-than-dos-progress-telerik-ui-for-asp-net-ajax-unsafe-reflection-cve-2025-3600/
🔥3👍2❤1
🔓 Oracle EBS: Как украсть данные без пароля
Злоумышленник может получить доступ к конфиденциальным данным без логина и пароля, просто отправив HTTP-запрос.
💡 Суть: В Oracle Configurator (Runtime UI) обнаружен обход аутентификации. Система не проверяет аутентификацию и выдаёт конфиденциальные данные кому угодно.
🔗 Как работает:
1. HTTP-запрос к Runtime UI
2. Система пропускает проверку (ошибка!)
3. Доступ к бизнес-данным, моделям, ценам
🚨 Масштаб: Oracle EBS используется тысячами компаний. Затронуты версии 12.2.3-12.2.14. Неделей ранее CVE-2025-61882 эксплуатировала группа Cl0p.
🧠 Вывод: Критические компоненты ВСЕГДА должны проверять аутентификацию на сервере. Oracle выпустила патч 11 октября — применяйте немедленно!
Полный разбор:
https://eh.su/reports/145
Злоумышленник может получить доступ к конфиденциальным данным без логина и пароля, просто отправив HTTP-запрос.
💡 Суть: В Oracle Configurator (Runtime UI) обнаружен обход аутентификации. Система не проверяет аутентификацию и выдаёт конфиденциальные данные кому угодно.
🔗 Как работает:
1. HTTP-запрос к Runtime UI
2. Система пропускает проверку (ошибка!)
3. Доступ к бизнес-данным, моделям, ценам
🚨 Масштаб: Oracle EBS используется тысячами компаний. Затронуты версии 12.2.3-12.2.14. Неделей ранее CVE-2025-61882 эксплуатировала группа Cl0p.
🧠 Вывод: Критические компоненты ВСЕГДА должны проверять аутентификацию на сервере. Oracle выпустила патч 11 октября — применяйте немедленно!
Полный разбор:
https://eh.su/reports/145
👍2
🔥 НОВЫЕ ПРОГРАММЫ БАГБАУНТИ 🔥
Сегодня, 25 октября 2025 года, мы проверили крупнейшие российские платформы Bug Bounty:
- Standoff365
- BI.ZONE Bug Bounty
- BugBounty.ru
К сожалению, новых программ за последний день не обнаружено. 😔
💡 Совет для багхантеров:
Нет новых программ? Это отличный повод вернуться к уже существующим!
1. Повторное тестирование: Проверьте программы, которые давно не обновлялись. Возможно, там появились новые функции или были внесены изменения, которые могли создать новые векторы атаки.
2. Фокус на приватных программах: Активно участвуйте в публичных программах, чтобы повысить свой рейтинг и получить приглашения в более выгодные приватные программы.
3. Изучение отчетов: Читайте публичные отчеты (Disclosed Reports) на платформах, чтобы понять, какие типы уязвимостей наиболее актуальны и востребованы.
Всем удачной охоты! 🕵️♂️
Сегодня, 25 октября 2025 года, мы проверили крупнейшие российские платформы Bug Bounty:
- Standoff365
- BI.ZONE Bug Bounty
- BugBounty.ru
К сожалению, новых программ за последний день не обнаружено. 😔
💡 Совет для багхантеров:
Нет новых программ? Это отличный повод вернуться к уже существующим!
1. Повторное тестирование: Проверьте программы, которые давно не обновлялись. Возможно, там появились новые функции или были внесены изменения, которые могли создать новые векторы атаки.
2. Фокус на приватных программах: Активно участвуйте в публичных программах, чтобы повысить свой рейтинг и получить приглашения в более выгодные приватные программы.
3. Изучение отчетов: Читайте публичные отчеты (Disclosed Reports) на платформах, чтобы понять, какие типы уязвимостей наиболее актуальны и востребованы.
Всем удачной охоты! 🕵️♂️
🤡24❤3😁3🎉1🙏1
Forwarded from Багхантер
ТОП-1 БАГБАУНТИ ПЛАТФОРМА
Final Results
53%
Standoff 365 Bug Bounty
34%
BI.ZONE Bug Bounty
13%
Bug Bounty Ru
👎20🔥1🤔1🤡1
💥 Кажется разработчики будут уволены или CVE-2025-48703!
🤯 На повестке дня — Remote Code Execution (RCE) в популярной панели управления хостингом Control Web Panel (CWP), ранее известной как CentOS Web Panel. Уязвимость, получившая идентификатор CVE-2025-48703, позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольные команды на сервере.
⛓️ Суть бага: Уязвимость кроется в механизме обхода аутентификации, который позволяет атакующему, имеющему валидное имя пользователя (не root), выполнить команды, используя специально сформированные запросы. Это критический недостаток, который превращает любой сервер с CWP в легкую мишень.
💣 Импакт - максимальный. CWP используется для управления более чем 150 000 интернет-доступными инстансами по всему миру. Получение RCE на панели управления хостингом означает полный контроль над сервером, возможность кражи данных, размещения вредоносного ПО и использования сервера в качестве плацдарма для дальнейших атак. CISA уже добавила эту уязвимость в свой каталог Known Exploited Vulnerabilities (KEV), что подтверждает: 🛑🛑🛑эксплуатация идет полным ходом.
✅ Что делать?
1. Немедленно обновиться до версии 0.9.8.1205 или выше. Патч был выпущен еще в середине июня, но многие до сих пор игнорируют обновление.
2. Проверить логи на предмет подозрительной активности и несанкционированного доступа.
3. Использовать фаервол для ограничения доступа к панели управления только с доверенных IP-адресов.
Подпишитесь на канал, чтобы быть в курсе последних репортов.
🤯 На повестке дня — Remote Code Execution (RCE) в популярной панели управления хостингом Control Web Panel (CWP), ранее известной как CentOS Web Panel. Уязвимость, получившая идентификатор CVE-2025-48703, позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольные команды на сервере.
⛓️ Суть бага: Уязвимость кроется в механизме обхода аутентификации, который позволяет атакующему, имеющему валидное имя пользователя (не root), выполнить команды, используя специально сформированные запросы. Это критический недостаток, который превращает любой сервер с CWP в легкую мишень.
💣 Импакт - максимальный. CWP используется для управления более чем 150 000 интернет-доступными инстансами по всему миру. Получение RCE на панели управления хостингом означает полный контроль над сервером, возможность кражи данных, размещения вредоносного ПО и использования сервера в качестве плацдарма для дальнейших атак. CISA уже добавила эту уязвимость в свой каталог Known Exploited Vulnerabilities (KEV), что подтверждает: 🛑🛑🛑эксплуатация идет полным ходом.
✅ Что делать?
1. Немедленно обновиться до версии 0.9.8.1205 или выше. Патч был выпущен еще в середине июня, но многие до сих пор игнорируют обновление.
2. Проверить логи на предмет подозрительной активности и несанкционированного доступа.
3. Использовать фаервол для ограничения доступа к панели управления только с доверенных IP-адресов.
Подпишитесь на канал, чтобы быть в курсе последних репортов.
👍7❤2
Forwarded from Багхантер
Telegram
lol 😂 in Багбаунти 2.0
Социальный опрос. Багбаунти программа Telegram — ...
Не репортил телеграму баги/не знаю / 🔝 Топ / 👍 Хорошо / 🆗 Средне / 🤬 Плохо / 💩 Очень плохо
Не репортил телеграму баги/не знаю / 🔝 Топ / 👍 Хорошо / 🆗 Средне / 🤬 Плохо / 💩 Очень плохо
Telegram багбаунти
Вчера вечером кто-то анонимный в чате Багбаунти решил устроить социальный опрос «Багбаунти программа Telegram — …» с целью выяснить мнение багхантеров по этому поводу (передаю привет сотрудникам Telegram и Паше Дурову). Ну и так мысли проскочили, что было бы круто если бы Telegram или, например, Wallet вышли со своими багбаунти программами на Standoff 365. Не знаю, правда, насколько это реально, но история получилась бы крутая.
https://core.telegram.org/bug-bounty
Вчера вечером кто-то анонимный в чате Багбаунти решил устроить социальный опрос «Багбаунти программа Telegram — …» с целью выяснить мнение багхантеров по этому поводу (передаю привет сотрудникам Telegram и Паше Дурову). Ну и так мысли проскочили, что было бы круто если бы Telegram или, например, Wallet вышли со своими багбаунти программами на Standoff 365. Не знаю, правда, насколько это реально, но история получилась бы крутая.
https://core.telegram.org/bug-bounty
🤡12🤯4🤨2🥰1
Forwarded from Standoff 365
Media is too big
VIEW IN TELEGRAM
Смотрим, как прошло награждение топ-25 Standoff Bug Bounty и топ-25 Standoff Hackbase 🎬
В прошлый четверг, 18 декабря, мы наградили лучших исследователей платформы Standoff 365.
Как это было? Включай репортаж и погружайся в атмосферу главной кибертусовки декабря🕺
В прошлый четверг, 18 декабря, мы наградили лучших исследователей платформы Standoff 365.
Как это было? Включай репортаж и погружайся в атмосферу главной кибертусовки декабря
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1💅1
PT SWARM
Blind trust: what is hidden behind the process of creating your PDF file?
Every day, thousands of web services generate PDF (Portable Document Format) files—bills, contracts, reports. This step is often treated as a technical routine, “just convert the HTML,” but in practice it’s exactly where a trust boundary is crossed. The renderer…
🚨 Слепая вера в PDF: что творится под капотом генерации твоих "безопасных" файлов
Исследователи из PT SWARM покопались в популярных библиотеках для конвертации HTML в PDF — и нашли там настоящий зоопарк уязвимостей.🔥 😵💫13 багов + 6 миссконфигов🔥🔥 в семи либах: TCPDF, html2pdf, jsPDF, mPDF, snappy, dompdf и OpenPDF.
Что может пойти не так, когда твой сервер жрёт пользовательский HTML и спитит PDF (чеки, отчёты, инвойсы)?
• Path traversal: Вставляешь в img src хитрый путь — и в PDF улетают твои приватные файлы с сервера (привет, утечка PII).
• Deserialization гадости: Сериализуешь объект — и сервер начинает удалять произвольные файлы. DoS в один клик.
• SSRF в полный рост: Библиотеки сами бегают по указанным URL, включая internal 127.0.0.1. Сканируй сеть, тяни метаданные — всё дела.
• ReDoS и бесконечные циклы: Один кривой data: URL — и CPU сервера уходит в стратосферу.
Особенно "весело" в TCPDF (≤6.8.2), html2pdf (≤5.3.0) и jsPDF (3.x). Многие баги уже пофикшены в новых версиях, но миссконфиги (типа allow remote images или local file access) — это intentional фичи, которые нужно выключать вручную.
Вывод простой: никогда не доверяй пользовательскому HTML на этапе генерации PDF. Санитайзьте, валидируйте пути/URL, отключите всё лишнее, обновляйтесь.
Полный разбор с PoC и примерами: https://swarm.ptsecurity.com/blind-trust-what-is-hidden-behind-the-process-of-creating-your-pdf-file/
Не генерируйте PDF из непроверенного ввода без паранойи — иначе получите сюрприз в проде. 🔒
Исследователи из PT SWARM покопались в популярных библиотеках для конвертации HTML в PDF — и нашли там настоящий зоопарк уязвимостей.
Что может пойти не так, когда твой сервер жрёт пользовательский HTML и спитит PDF (чеки, отчёты, инвойсы)?
• Path traversal: Вставляешь в img src хитрый путь — и в PDF улетают твои приватные файлы с сервера (привет, утечка PII).
• Deserialization гадости: Сериализуешь объект — и сервер начинает удалять произвольные файлы. DoS в один клик.
• SSRF в полный рост: Библиотеки сами бегают по указанным URL, включая internal 127.0.0.1. Сканируй сеть, тяни метаданные — всё дела.
• ReDoS и бесконечные циклы: Один кривой data: URL — и CPU сервера уходит в стратосферу.
Особенно "весело" в TCPDF (≤6.8.2), html2pdf (≤5.3.0) и jsPDF (3.x). Многие баги уже пофикшены в новых версиях, но миссконфиги (типа allow remote images или local file access) — это intentional фичи, которые нужно выключать вручную.
Вывод простой: никогда не доверяй пользовательскому HTML на этапе генерации PDF. Санитайзьте, валидируйте пути/URL, отключите всё лишнее, обновляйтесь.
Полный разбор с PoC и примерами: https://swarm.ptsecurity.com/blind-trust-what-is-hidden-behind-the-process-of-creating-your-pdf-file/
Не генерируйте PDF из непроверенного ввода без паранойи — иначе получите сюрприз в проде. 🔒
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍3❤2👏1
Cyber Security News
Google High-Severity WebView Vulnerability Allows Hackers to Bypass Security Restrictions
The flaw, designated CVE-2026-0628, poses a significant threat to millions of users whose browsers and applications rely
💥 Google Chrome WebView: Дыра, которая ставит под угрозу миллиарды пользователей! 💥
Думали, ваш Chrome безопасен? Подумайте еще раз! Обнаружена 🧨🧨🧨🧨🧨🧨🧨🧨 критическая уязвимость (CVE-2026-0628) в Google Chrome WebView, которая позволяет хакерам обходить защитные механизмы и выполнять несанкционированные действия! 🤯
Что такое WebView и почему это важно?
WebView — это движок, который используется не только в самом Chrome, но и во множестве Android-приложений и сторонних программ для отображения веб-контента. Это как сердце, которое бьется в миллиардах устройств. И теперь это сердце уязвимо!
Суть проблемы:
Уязвимость кроется в недостаточной реализации политики безопасности внутри тега WebView. Это означает, что злоумышленники могут обойти контроль безопасности, предназначенный для предотвращения выполнения вредоносных скриптов, несанкционированного доступа к данным и других атак. 😰
Масштаб угрозы:
* Миллиарды пользователей: Уязвимость затрагивает не только пользователей Chrome на десктопах, но и миллионы Android-приложений, использующих WebView.
* Обход защит: Хакеры могут обходить механизмы, которые должны блокировать вредоносный контент и предотвращать выполнение неавторизованных скриптов.
* Компрометация данных: Успешная эксплуатация может привести к компрометации пользовательских данных и нарушению системной безопасности сразу в нескольких приложениях.
🧐🧐🧐Что делать?
СРОЧНО ОБНОВИТЕ GOOGLE CHROME! Google уже выпустил патчи в версиях 143.0.7499.192 и 143.0.7499.193. Перейдите в Настройки > О Chrome, чтобы проверить версию и установить обновление. После обновления обязательно перезапустите браузер! 🚀
🔗 Подробности и технический анализ: https://cyberpress.org/google-high-severity-webview-vulnerability/
#bugbounty #vulnerability #Chrome #WebView #cybersecurity #zeroday #critical_bug
Думали, ваш Chrome безопасен? Подумайте еще раз! Обнаружена 🧨🧨🧨🧨🧨🧨🧨🧨 критическая уязвимость (CVE-2026-0628) в Google Chrome WebView, которая позволяет хакерам обходить защитные механизмы и выполнять несанкционированные действия! 🤯
Что такое WebView и почему это важно?
WebView — это движок, который используется не только в самом Chrome, но и во множестве Android-приложений и сторонних программ для отображения веб-контента. Это как сердце, которое бьется в миллиардах устройств. И теперь это сердце уязвимо!
Суть проблемы:
Уязвимость кроется в недостаточной реализации политики безопасности внутри тега WebView. Это означает, что злоумышленники могут обойти контроль безопасности, предназначенный для предотвращения выполнения вредоносных скриптов, несанкционированного доступа к данным и других атак. 😰
Масштаб угрозы:
* Миллиарды пользователей: Уязвимость затрагивает не только пользователей Chrome на десктопах, но и миллионы Android-приложений, использующих WebView.
* Обход защит: Хакеры могут обходить механизмы, которые должны блокировать вредоносный контент и предотвращать выполнение неавторизованных скриптов.
* Компрометация данных: Успешная эксплуатация может привести к компрометации пользовательских данных и нарушению системной безопасности сразу в нескольких приложениях.
🧐🧐🧐Что делать?
СРОЧНО ОБНОВИТЕ GOOGLE CHROME! Google уже выпустил патчи в версиях 143.0.7499.192 и 143.0.7499.193. Перейдите в Настройки > О Chrome, чтобы проверить версию и установить обновление. После обновления обязательно перезапустите браузер! 🚀
🔗 Подробности и технический анализ: https://cyberpress.org/google-high-severity-webview-vulnerability/
#bugbounty #vulnerability #Chrome #WebView #cybersecurity #zeroday #critical_bug
❤4🎄1
Forwarded from Багхантер
Media is too big
VIEW IN TELEGRAM
😎🧯🎆 Потрясающие результаты Standoff Bug Bounty за 2025 год
В 🤯2.2 раза больше программ чем в 2024 году. 😳32 тысячи пользователей (+74% за год). Багхантеры сдали 👏7870 отчетов (на 61% больше чем в прошлом году). Вместе с этим выросла средняя и максимальная выплаты, а исследователи продолжают зарабатывать миллионы рублей. Много новых багхантеров. С цифрами можете ознакомиться здесь - по всем параметрам Standoff Bug Bounty растет, поздравляю ребят с отличными результатами!
«Я багханчу на ТОП-1 багбаунти платформе, и все в этом зале знают на какой» (circuit)
В 🤯2.2 раза больше программ чем в 2024 году. 😳32 тысячи пользователей (+74% за год). Багхантеры сдали 👏7870 отчетов (на 61% больше чем в прошлом году). Вместе с этим выросла средняя и максимальная выплаты, а исследователи продолжают зарабатывать миллионы рублей. Много новых багхантеров. С цифрами можете ознакомиться здесь - по всем параметрам Standoff Bug Bounty растет, поздравляю ребят с отличными результатами!
👍6🤡4❤3
🎯 Лайк, который слишком много знал: IDOR и утечка скрытых данных
Классический пример Broken Access Control, где UI честно прячет контент, а API радостно отдает его любому желающему. Жертвой стал
🙈 Суть уязвимости
Пользователь может отключить комментарии к своему медиа-контенту. В интерфейсе они пропадают для посторонних глаз. Но исследователь выяснил, что если знать (или перебрать) ID комментария, до него можно достучаться через смежный функционал.
В API существовал эндпоинт для постановки лайка:
- Лайк успешно ставился
- Сервер возвращал JSON с полным телом комментария (полем content) и данными автора
— То есть через побочный эффект (ответ на лайк) атакующий мог читать приватную переписку.
💸 Импакт и награда
Это чистая утечка пользовательских данных (Information Disclosure) из-за отсутствия Object Level Authorization. За находку выплатили $500 (Medium).
Фикс образцовый: теперь при попытке лайкнуть скрытое сервер отвечает
📝 Из интересного:
В ходе триажа исследователя попросили удалить Unlisted-видео PoC c YouTube и залить файл напрямую в репорт. Использование внешних хостингов для доказательств часто нарушает правила программ, поэтому лучше аттачить всё сразу на платформу.
Ссылка на оригинальный репорт: hackerone.com/reports/2541962
Классический пример Broken Access Control, где UI честно прячет контент, а API радостно отдает его любому желающему. Жертвой стал
hub.vroid.com (проект pixiv), а вектором атаки — обычная кнопка «лайка».🙈 Суть уязвимости
Пользователь может отключить комментарии к своему медиа-контенту. В интерфейсе они пропадают для посторонних глаз. Но исследователь выяснил, что если знать (или перебрать) ID комментария, до него можно достучаться через смежный функционал.
В API существовал эндпоинт для постановки лайка:
POST /api/statuses/{ID}/hearts. Проблема в том, что сервер не проверял, разрешено ли текущему пользователю видеть этот комментарий. При отправке запроса с ID скрытого коммента:- Лайк успешно ставился
- Сервер возвращал JSON с полным телом комментария (полем content) и данными автора
— То есть через побочный эффект (ответ на лайк) атакующий мог читать приватную переписку.
💸 Импакт и награда
Это чистая утечка пользовательских данных (Information Disclosure) из-за отсутствия Object Level Authorization. За находку выплатили $500 (Medium).
Фикс образцовый: теперь при попытке лайкнуть скрытое сервер отвечает
COMMON_NOT_FOUND, скрывая даже сам факт существования ID.📝 Из интересного:
В ходе триажа исследователя попросили удалить Unlisted-видео PoC c YouTube и залить файл напрямую в репорт. Использование внешних хостингов для доказательств часто нарушает правила программ, поэтому лучше аттачить всё сразу на платформу.
Ссылка на оригинальный репорт: hackerone.com/reports/2541962
👍5😁3❤1😱1