В сервисе «Яндекса» обнаружена SQL-инъекция

Discussion in 'Болталка' started by private_static, 28 Dec 2015.

  1. CKAP

    CKAP Well-Known Member

    Joined:
    9 Oct 2015
    Messages:
    653
    Likes Received:
    2,865
    Reputations:
    8
  2. Shawn1x

    Shawn1x Elder - Старейшина

    Joined:
    24 Aug 2007
    Messages:
    307
    Likes Received:
    536
    Reputations:
    13
    у меня знакомый такой хуйней занимался, оправил им XSS с яндекса) они ему сказали типа мы знаем об этой ошибке и денег вы не получите )
     
    5maks5 likes this.
  3. Semwize

    Semwize Elder - Старейшина

    Joined:
    30 Nov 2006
    Messages:
    579
    Likes Received:
    912
    Reputations:
    25
    Это неправильно, "мы знаем". Правильно, пофиксить и отписать "у нас не воспроизводится" ;)
     
    Turanchocks_ likes this.
  4. banned

    banned Banned

    Joined:
    20 Nov 2006
    Messages:
    3,324
    Likes Received:
    1,193
    Reputations:
    252
    https://yandex.ru/bugbounty/hall-of-fame/all/
    Смотри февраль 2014!
     
    BitHack likes this.
  5. private_static

    Joined:
    19 May 2015
    Messages:
    118
    Likes Received:
    76
    Reputations:
    22
    Code:
    http://webcache.googleusercontent.com/search?hl=ru&biw&bih&q=cache:Fo3rBMeFxoYJ:http://www.securitylab.ru/news/477985.php%2Bhttp://www.securitylab.ru/news/477985.php&gbv=2&&ct=clnk
     
    CKAP likes this.
  6. exploit_support

    exploit_support New Member

    Joined:
    9 Aug 2015
    Messages:
    11
    Likes Received:
    1
    Reputations:
    2
    Если не секрет, сколько денег заплатили по биг-баунти программе? :)
     
  7. kostea

    kostea New Member

    Joined:
    23 Dec 2015
    Messages:
    29
    Likes Received:
    0
    Reputations:
    0
    А это точно SQL-inj? Не XPatch-inj?
     
  8. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    нет, это sqli, просто в параметре в xml.

    43k rub
     
    _________________________
  9. kostea

    kostea New Member

    Joined:
    23 Dec 2015
    Messages:
    29
    Likes Received:
    0
    Reputations:
    0
    POC видео случайно нету?
     
  10. Ins3t

    Ins3t Харьковчанин

    Joined:
    18 Jul 2009
    Messages:
    939
    Likes Received:
    429
    Reputations:
    139
    както мало очень
     
    private_static and grimnir like this.
  11. CKAP

    CKAP Well-Known Member

    Joined:
    9 Oct 2015
    Messages:
    653
    Likes Received:
    2,865
    Reputations:
    8
    Ну всё надо бежать менять пароли ))
     
  12. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    592
    Likes Received:
    1,392
    Reputations:
    6
    а там какие данные можно было вытащить? хэши паролей от яндекс аккаунтов можно было?
     
  13. yarbabin

    yarbabin HACKIN YO KUT

    Joined:
    21 Nov 2007
    Messages:
    1,663
    Likes Received:
    916
    Reputations:
    363
    это я уже не могу сказать :)
     
    _________________________
    ocheretko likes this.
  14. ocheretko

    ocheretko Banned

    Joined:
    15 May 2010
    Messages:
    144
    Likes Received:
    51
    Reputations:
    116
    Хех молодец!)
     
  15. i~DOS

    i~DOS Member

    Joined:
    26 Mar 2009
    Messages:
    42
    Likes Received:
    40
    Reputations:
    4
    фаза - хасла сучка, пора уже создавать фанклуб
     
  16. 5maks5

    5maks5 Elder - Старейшина

    Joined:
    29 Aug 2010
    Messages:
    452
    Likes Received:
    265
    Reputations:
    40
    Cерьезно? Это ведь шутка была?
    За более-менее серьезный RCE платят от 2kk$ и выше.
    Плюсом к этому не все имеют bughunt программы на HackerOne и прочих платформах.
    Некоторые (как ВК) - тупо игнорят, принимают заявки, но пишут, что это не уязвимость\ошибка.
    FB с тем же Instagram когда слили весь его код (!) не признал ошибку и не выплатил деньги.
    О чем вообще речь?
    BlackHat всегда был и будет более доходным.
    А за скупость надо платить.
     
    palec2006 and grimnir like this.
  17. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    доходность тут не причем. я имел ввиду что для многих людей сейчас актуальнее хорошая репутация нежели дорого проданный товар на черном рынке.
    а fb не выплатил из за того что исследователь не остановился после нахождения узязвимости а стал дальше взломать сервер инста, и слил сорцы. естественно не стоило ждать вознаграждения.
    из собственного опыта говоришь или просто "так говорят" ?
     
    _________________________
  18. 5maks5

    5maks5 Elder - Старейшина

    Joined:
    29 Aug 2010
    Messages:
    452
    Likes Received:
    265
    Reputations:
    40
    Рынка ITSec, также как и рынка Computer Science в России не существует впринципе.
    Про PtSec я не говорю - ребята словили хайпа и подсели на корпоративных клиентов.
    Про ноунеймов типа ITGuard и Информзащита я вообще молчу - они не претендуют ни на один кусок пирога и больше влекут жалкое существование изредка мелькая на различных (кроме PHDays куда все ходят) опять же нонейм конференциях в мухосрансках.
    1 весьма интересная XSS в рекламном кабинете (который на самом деле решето).
     
  19. 5maks5

    5maks5 Elder - Старейшина

    Joined:
    29 Aug 2010
    Messages:
    452
    Likes Received:
    265
    Reputations:
    40
    PS: К чему я это? К тому, что репутация ничего не значит. По крайней мере в области информзащиты в России.
     
  20. Konqi

    Konqi Green member

    Joined:
    24 Jun 2009
    Messages:
    2,251
    Likes Received:
    1,149
    Reputations:
    886
    ок.
     
    _________________________
    5maks5 likes this.
Loading...