DC
Они говорят ментам скажут, если чё
а они отнесут на h1 ?
Size: a a a
2020 October 05
R
а они отнесут на h1 ?
Ну там нес уже чувак, ему так сказали
VP
Например, промокод дает скидку на товар, но можно обойти этап ввода промокода... Пройдёт?
хм, пример вроде и интересный, но в 9 из 10 случаев все, что в рамках промокодов, это малоимпактно.
Могу рассказать кейс, который был у нас когда то в ЯМузыке, неск лет назад (хотя может уже рассказывал). Была акция от ЯМузыки и Самсунг, и там при покупке телефна самсунг, давалась подписка на ЯМузыку на год халявная. Народные умельцы обнаружили, что виртуальные девайсы, которые создаются в X-Code(или где там можно было андроид дебажить), тоже имеют тот уникальный айдишник, который дает подписку. И стали это активно юзать. Когда это прислали, менеджеры пожали плечами, и сказали, ну и что? Нам все равно по договору с самсунгом надо активировать эти промокоды, так что пускай. В общем промокоды это коммерческое наебалово, и баги по ним я примерно приравнял бы к индусу, приславшему нам в баунти критикал баг, что он нашел “secret page”
https://www.ozon.ru/go
Могу рассказать кейс, который был у нас когда то в ЯМузыке, неск лет назад (хотя может уже рассказывал). Была акция от ЯМузыки и Самсунг, и там при покупке телефна самсунг, давалась подписка на ЯМузыку на год халявная. Народные умельцы обнаружили, что виртуальные девайсы, которые создаются в X-Code(или где там можно было андроид дебажить), тоже имеют тот уникальный айдишник, который дает подписку. И стали это активно юзать. Когда это прислали, менеджеры пожали плечами, и сказали, ну и что? Нам все равно по договору с самсунгом надо активировать эти промокоды, так что пускай. В общем промокоды это коммерческое наебалово, и баги по ним я примерно приравнял бы к индусу, приславшему нам в баунти критикал баг, что он нашел “secret page”
https://www.ozon.ru/go
s
хм, пример вроде и интересный, но в 9 из 10 случаев все, что в рамках промокодов, это малоимпактно.
Могу рассказать кейс, который был у нас когда то в ЯМузыке, неск лет назад (хотя может уже рассказывал). Была акция от ЯМузыки и Самсунг, и там при покупке телефна самсунг, давалась подписка на ЯМузыку на год халявная. Народные умельцы обнаружили, что виртуальные девайсы, которые создаются в X-Code(или где там можно было андроид дебажить), тоже имеют тот уникальный айдишник, который дает подписку. И стали это активно юзать. Когда это прислали, менеджеры пожали плечами, и сказали, ну и что? Нам все равно по договору с самсунгом надо активировать эти промокоды, так что пускай. В общем промокоды это коммерческое наебалово, и баги по ним я примерно приравнял бы к индусу, приславшему нам в баунти критикал баг, что он нашел “secret page”
https://www.ozon.ru/go
Могу рассказать кейс, который был у нас когда то в ЯМузыке, неск лет назад (хотя может уже рассказывал). Была акция от ЯМузыки и Самсунг, и там при покупке телефна самсунг, давалась подписка на ЯМузыку на год халявная. Народные умельцы обнаружили, что виртуальные девайсы, которые создаются в X-Code(или где там можно было андроид дебажить), тоже имеют тот уникальный айдишник, который дает подписку. И стали это активно юзать. Когда это прислали, менеджеры пожали плечами, и сказали, ну и что? Нам все равно по договору с самсунгом надо активировать эти промокоды, так что пускай. В общем промокоды это коммерческое наебалово, и баги по ним я примерно приравнял бы к индусу, приславшему нам в баунти критикал баг, что он нашел “secret page”
https://www.ozon.ru/go
Не спорю :)
VP
ну то есть за всякие финты с промокодами канешн заплатят, но это точно не то, про что говорит hakluke, рассказывая про p1 лоджик баги
VP
рэйс кондишн еще на введеный промокод не забываем 😉
тоже не лоджик баг, а рейс.
VP
просчитывая сценарии, почти всегда упираешься в то, что по факту речь не про лоджик баг, а про IDOR или неправильный access control.
Ну то есть допустим есть таксопарк и ЛК, и таксисту в нем по апишке отдается информация про него, и где-то среди вызовов будет скажем ручка complaints, которая будет показывать таксисту, сколько раз на него жаловались. Но так как пилить отдельную ручку для манагера (который должен видеть, кто именно жаловался, ну допустим логин/фио клиента), было накладно, то ручка одна, но для таксиста на фронте будет фильтроваться выдача, и он будет видеть только количество жалоб. Но вот если он внезапно умеет в бурп, и дернет апи напрямую, то…
Но это как раз айдор, а не лоджик
Ну то есть допустим есть таксопарк и ЛК, и таксисту в нем по апишке отдается информация про него, и где-то среди вызовов будет скажем ручка complaints, которая будет показывать таксисту, сколько раз на него жаловались. Но так как пилить отдельную ручку для манагера (который должен видеть, кто именно жаловался, ну допустим логин/фио клиента), было накладно, то ручка одна, но для таксиста на фронте будет фильтроваться выдача, и он будет видеть только количество жалоб. Но вот если он внезапно умеет в бурп, и дернет апи напрямую, то…
Но это как раз айдор, а не лоджик
VP
То есть для лоджик бага важно следующее: там не слетел контроль доступа, доступ работает как надо. Там возникла ситуация типа “а мы не думали, что это (как правило информацию) можно было использовать для этого". И кейс что например ручку, удаляющую картинки юзера, можно использовать для удаления картинок других юзеров, это тоже не лоджик баг (хотя да, соблюдается условие “мы не думали”), это именно аксесс контрол бага
VS
То есть для лоджик бага важно следующее: там не слетел контроль доступа, доступ работает как надо. Там возникла ситуация типа “а мы не думали, что это (как правило информацию) можно было использовать для этого". И кейс что например ручку, удаляющую картинки юзера, можно использовать для удаления картинок других юзеров, это тоже не лоджик баг (хотя да, соблюдается условие “мы не думали”), это именно аксесс контрол бага
у меня была ручка которая помимо удаления аватарки, могла удалять файлы на сервере. но это так к слову. и это конечно не лоджикал баг.
VP
у меня была ручка которая помимо удаления аватарки, могла удалять файлы на сервере. но это так к слову. и это конечно не лоджикал баг.
ну это я так понимаю чистый ссрф
VP
просто в отличие от ручки с удалением других картинок, ты смог пройти еще выше по корню, и удалять все
VS
причем очень слепой. проверить удалось сносом главного лого на main page
VP
хех, хороший POC)
VS
стремный правда. но я подумал что у них у дизайнеров полюбому бэкапы должны быть. и восстановят)
VP
-how can attacker benefit from it?
-well, attacker actually can’t, it won’t give him any profit, but just open your main page, and you’ll see the impact)
-well, attacker actually can’t, it won’t give him any profit, but just open your main page, and you’ll see the impact)
VS
правда бизнес импакт тоже такой себе был. ну мог я грохнуть ключи на серваке. т.е потеря доступа к приложению. мне бы сказали - ну и что ?)
VP
нет, лоджик баг я вижу как-то так. Есть определенная ручка, которая предназначалась быть публичной, и все про нее знают. Типа там не знаю, расход топлива за смену, или еще что-то.
И есть хитрожопые таксисты, которые придумали, как ее заюзать себе в профит, а компании в убыток. Типа там, используя 99,9 процентов какой-нибудь квоты расхода (и узнавая ее точно через эту ручку) каждый месяц получать премию незаслуженно (если бы использовали 100%), не получили бы.
Или например клиентское приложение такси отдает про таксиста такую информацию, которую должен видеть клиент, про таксиста, но не должен видеть таксист. И таксист, поставив себе на соседнюю мобилку клиентское приложение, получает какое-нибудь финансовое преимущество.
Ну или типа там за отмену уже сделанного заказа, ты платишь 150 рублей (как клиент), а таксопарк доплачивает таксисту еще сверху за этот заказ ну допустим там 20 рублей.
Скачиваешь приложение клиента, вызываешь сам себя, и имеешь профит, пока фрод мониторинг не запалит.
И задача лоджик баг хантера по идее это как раз просчитать такой сценарий, и описать способ эксплуатации.
У меня примеры придуманные за 20 секунд из головы, и больше походи на натягивание совы на глобус, но стопудово должны быть и более реальные примеры в таком же ключе.
Но главное условие в моем последнем примере выполняется-тут нет никаких айдоров, нет access control багов, нету рейс кондишена, все работает как надо. Но за счет логики действия, это можно использовать для нанесения убытка компании.
И есть хитрожопые таксисты, которые придумали, как ее заюзать себе в профит, а компании в убыток. Типа там, используя 99,9 процентов какой-нибудь квоты расхода (и узнавая ее точно через эту ручку) каждый месяц получать премию незаслуженно (если бы использовали 100%), не получили бы.
Или например клиентское приложение такси отдает про таксиста такую информацию, которую должен видеть клиент, про таксиста, но не должен видеть таксист. И таксист, поставив себе на соседнюю мобилку клиентское приложение, получает какое-нибудь финансовое преимущество.
Ну или типа там за отмену уже сделанного заказа, ты платишь 150 рублей (как клиент), а таксопарк доплачивает таксисту еще сверху за этот заказ ну допустим там 20 рублей.
Скачиваешь приложение клиента, вызываешь сам себя, и имеешь профит, пока фрод мониторинг не запалит.
И задача лоджик баг хантера по идее это как раз просчитать такой сценарий, и описать способ эксплуатации.
У меня примеры придуманные за 20 секунд из головы, и больше походи на натягивание совы на глобус, но стопудово должны быть и более реальные примеры в таком же ключе.
Но главное условие в моем последнем примере выполняется-тут нет никаких айдоров, нет access control багов, нету рейс кондишена, все работает как надо. Но за счет логики действия, это можно использовать для нанесения убытка компании.
VS
нет, лоджик баг я вижу как-то так. Есть определенная ручка, которая предназначалась быть публичной, и все про нее знают. Типа там не знаю, расход топлива за смену, или еще что-то.
И есть хитрожопые таксисты, которые придумали, как ее заюзать себе в профит, а компании в убыток. Типа там, используя 99,9 процентов какой-нибудь квоты расхода (и узнавая ее точно через эту ручку) каждый месяц получать премию незаслуженно (если бы использовали 100%), не получили бы.
Или например клиентское приложение такси отдает про таксиста такую информацию, которую должен видеть клиент, про таксиста, но не должен видеть таксист. И таксист, поставив себе на соседнюю мобилку клиентское приложение, получает какое-нибудь финансовое преимущество.
Ну или типа там за отмену уже сделанного заказа, ты платишь 150 рублей (как клиент), а таксопарк доплачивает таксисту еще сверху за этот заказ ну допустим там 20 рублей.
Скачиваешь приложение клиента, вызываешь сам себя, и имеешь профит, пока фрод мониторинг не запалит.
И задача лоджик баг хантера по идее это как раз просчитать такой сценарий, и описать способ эксплуатации.
У меня примеры придуманные за 20 секунд из головы, и больше походи на натягивание совы на глобус, но стопудово должны быть и более реальные примеры в таком же ключе.
Но главное условие в моем последнем примере выполняется-тут нет никаких айдоров, нет access control багов, нету рейс кондишена, все работает как надо. Но за счет логики действия, это можно использовать для нанесения убытка компании.
И есть хитрожопые таксисты, которые придумали, как ее заюзать себе в профит, а компании в убыток. Типа там, используя 99,9 процентов какой-нибудь квоты расхода (и узнавая ее точно через эту ручку) каждый месяц получать премию незаслуженно (если бы использовали 100%), не получили бы.
Или например клиентское приложение такси отдает про таксиста такую информацию, которую должен видеть клиент, про таксиста, но не должен видеть таксист. И таксист, поставив себе на соседнюю мобилку клиентское приложение, получает какое-нибудь финансовое преимущество.
Ну или типа там за отмену уже сделанного заказа, ты платишь 150 рублей (как клиент), а таксопарк доплачивает таксисту еще сверху за этот заказ ну допустим там 20 рублей.
Скачиваешь приложение клиента, вызываешь сам себя, и имеешь профит, пока фрод мониторинг не запалит.
И задача лоджик баг хантера по идее это как раз просчитать такой сценарий, и описать способ эксплуатации.
У меня примеры придуманные за 20 секунд из головы, и больше походи на натягивание совы на глобус, но стопудово должны быть и более реальные примеры в таком же ключе.
Но главное условие в моем последнем примере выполняется-тут нет никаких айдоров, нет access control багов, нету рейс кондишена, все работает как надо. Но за счет логики действия, это можно использовать для нанесения убытка компании.
вот по опыту скажу - такие совы на глобусе чаще всего оплачиваются сильно ниже.
VP
кстати, вспомнил тут трюки из нашей службы фрод мониторинга, а ля “купи такой-то товар, и получи такие-то товары за 1 р”, и их активно юзали всякие перекупщики, подсчитывая что при массовом применении, финансовая выгода выходит в их пользу, но все же это скорее удел службы фрода, чем аппсек бага, которую можно прислать в баунти
VP
вот по опыту скажу - такие совы на глобусе чаще всего оплачиваются сильно ниже.
ну в этом и суть, лоджик багов p1, про которые пишет Люк, я не могу придумать