Пользователь
47,9
рейтинг
26 мая 2013 в 23:25

Разработка → 17-летний подросток опубликовал 0day XSS в PayPal после того, как ему отказали в вознаграждении

Robert Kugler, 17-летний студент из Германии, который интересуется компьютерной безопасностью, нашел уязвимость на сайте paypal.com, и решил сообщить о ней в рамках программы по награждению за найденные баги. Однако, ему было отказано, т.к. он не достиг 18 лет. В ответ на это, он опубликовал уязвимость на seclists.org. Вот что он пишет:

Hello all!

I'm Robert Kugler a 17 years old German student who's interested in
securing computer systems.

I would like to warn you that PayPal.com is vulnerable to a Cross-Site
Scripting vulnerability!
PayPal Inc. is running a bug bounty program for professional security
researchers.

www.paypal.com/us/webapps/mpp/security/reporting-security-issues

XSS vulnerabilities are in scope. So I tried to take part and sent my find
to PayPal Site Security.

The vulnerability is located in the search function and can be triggered
with the following javascript code:

';alert(String.fromCharCode(88,83,83))//';alert(String.fromCharCode(88,83,83))//";
alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//--
</SCRIPT>">'><SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT>

www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search

Screenshot: picturepush.com/public/13144090

Unfortunately PayPal disqualified me from receiving any bounty payment
because of being 17 years old…

PayPal Site Security:

«To be eligible for the Bug Bounty Program, you *must not*:
… Be less than 18 years of age.If PayPal discovers that a researcher does
not meet any of the criteria above, PayPal will remove that researcher from
the Bug Bounty Program and disqualify them from receiving any bounty
payments.»

I don’t want to allege PayPal a kind of bug bounty cost saving, but it’s
not the best idea when you're interested in motivated security
researchers…

Best regards,

Robert Kugler


К слову, подобные программы от Mozilla и Google позволяют получить вознаграждение участникам, не достигшим 18 лет, с согласия родителей.
Влад @ValdikSS
карма
594,2
рейтинг 47,9
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (146)

  • +170
    Правильно поступил парень. Пайпал вообще крайне странная организация. У них подобной тупизны — вагон. Кто хоть раз сталкивался с беспричинным баном аккаунта и его восстановлением, тот в курсе.
    • +20
      Да это еще что. Я вот пытался просто узнать, почему он не работает в Украине, так они мне постоянно отвечали «Paypal не работает в Украине», я четыре раза переспрашивал «Почему?» и получал примерно один и тот же ответ (при том что сохранял ветку переписки)
      • –11
        Как это не работает в Украине?
        Я уже 4 месяца оплачиваю свой сервер на digitalocean с помощью paypal. Все хорошо работает.
        • +9
          Не работает. Оплатить через привязанную к пейпалу карту можно, а все остальное — зась. Получить бабло, перечислить на карту (кроме как через рефанд) и т.д. — йок. Т.е. грубо говоря, для покупателя пейпал подходит, для продавца — нет.
          • 0
            А, на вывод я не пробовал. Ниже мой вопрос игнорируйте тогда :)
          • +1
            В Беларуси примерно такая же ситуация, официально привязать карту нельзя, но умные ребята додумались привязывать карту указывая Литовский адрес.
            В результате ввод и вывод средств работает нормально (проверено на личном опыте, хоть и на незначительных суммах).
            Из основных минусов:
            — иногда приходится разъяснять продавцам почему мой адрес доставки отличается от адреса в PayPal (решалось обычно отправкой скана нескольких страниц паспорта)
            — в том же ebay к аккаунту нельзя привязать аккаунт Paypal (т.к. адреса должны совпадать)
            — кроме того не все карты можно привязать (вот это самая большая загадка лично для меня так точно).
            • –3
              Что за феерический бред? У вас вообще похоже, пейпал акка нет. Я вот тоже живу в РБ и пользуюсь услугами ПП уже 4 года. Имею сказать следующее:
              1. Продавцам пофиг на то, как выглядит адрес доставки. Тем более на сканы паспорта. Они либо шипят, либо нет на адрес, отличный от акка пейпал.
              2. У меня все привязанно и адреса разные. Что я делаю не так? Мало того, у меня на ибей несколько адресов доставки, на разных людей.
              Прежде чем публиковать свои «откровения» на тему " ПП в Белоруссии", в следующий раз, пожалуйста, сначала заведите аккаунт и поработайте с ним годик-другой.
              • 0
                1. Сорри, если вы считаете что это так, то пусть будет по вашему, я уже делал заказы из примерно более чем двух десятков различных магазинов, несколько раз приходилось отсылать скан. Скриншот письма тому подтверждение
                Скрытый текст

                2. Вероятно неправильно я сформулировал, да, у меня также Paypal залинкован по адресу mail. Но в случае с регистрацией через Литву, если не ошибаюсь, то не получится стать «verified PayPal member».
                Ну и в добавление к первоме пункту в правилах на ebay есть вся необходимая информация по поводу адресов ( в частности адреса регистрации, доставки и оплаты)
                Скрытый текст

                FYI: аккаунт использую более года так точно, точную дату регистрации искать не стал
                • 0
                  1. Проехали. Я посчитал, что речь идет о продавцах на ибей. Там другая ситуация.
                  С магазинами вообще сложно. Они выдумывают собственные правила и умудряются доколупаться даже до платежей напрямую картой.

                  2. Насколько я понял, вы говорили о адресах доставки на ибей и ПП.

                  Три адреса, на трех разных человек, все из Белорусии. Никаких проблем. В случае, если продавец шипит только на paypal adress, как правило, они имеют ввиду тот адрес, который им пришлет ПП в квитанции на платеж. А в случае платежей через ибей, туда будет подставлен Primary shipping address из вашего ибей-аккаунта. В чем тут проблемы у вас?
          • 0
            Уточняйте вашу фразу «не работает».
            Работает, но только в режиме read-only ;-))
            • 0
              Ну, как по мне, односторонняя работа платежной системы — это скорее онанизм, а не нормальное функционирование.
              • 0
                А теперь на секунду представьте, что нету и этого, и ощутите громадную разницу!
                • 0
                  Если мне что-то нужно продать, разница минимальна.
                  • 0
                    А подавляющее большинство пользователей именно покупает, не продает!
                    • 0
                      Ну так большинству и подходит. Зато сколько радости было, когда в России палка заработала в две стороны.
                      • 0
                        И теперь палка о двух концах?!))))
                    • 0
                      .
        • 0
          Я имел ввиду прием платежей.
      • +1
        То же самое происходит, когда спрашиваешь, почему забанили аккаут — одни отписки шлют. Мне в итоге позвнили, правда — считай, повезло. Многие с ними месяцами так «продуктивно» переписываются.
      • –3
        Эм… Дейстительно — почему вы решили, что не работает? Я уже пару лет, если мне память не изменяеть, с украинских карточек плачу отлично (ВАБ и Альфа)
      • +6
        А какой вы ожидали получить ответ на подобный вопрос? Мне кажется, в данном случае, техническая поддержка может лишь констатировать факт и добавить что-нибудь вроде «мы работаем над этим».
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Ну это есть, надо слать им сканы. Я тоже через это прошел, зато потом 5 лет уже все работает как часы.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +1
          А какая проблема перенаправить запрос в юридический отдел, чтобы специалист кратко ответил, в чем дело. Или платежной системе не интересно расширять круг своих клиентов?
          • НЛО прилетело и опубликовало эту надпись здесь
            • +3
              НАСА отчиталась, почему она не будет строить Звезду Смерти.
              Ответить на такой простой вопрос — дело 10 минут, еще 2 минуты занести в шаблоны саппорта.
              • 0
                По моему НАСА просто продолжило стеб в хорошей манере, если вообще не они этот стеб и организовали.

                Отвечать же каждому встречному на тупые вопросы, это занятие которое может занять вечность.
                Да, вопрос, почему paypal не работает в Украине тупой.
                • +6
                  Тупой вопрос — это вопрос, не относящийся к работе сервиса. А вот ответ у paypal был действительно тупым.

                  Если бы вы были способны создать что-то подобное, вы бы понимали ценность адекватного общения с клиентами, пусть даже с потенциальными.
                • 0
                  Привлекать всех встречных и поперечных — задача сервисов навроде пэйпола, именно с пользователей они имеют свой доход. Грамотная работа с корреспонденцией — один из способов оного привлечения.

                  Поэтому — да, каждому встречному и поперечному, максимально вежливо на вопрос любого уровня тупизны: это они для клиентов (и что даже важнее — благодаря клиентам), а не клиенты для них.
              • 0
                Ответили не НАСА, а член конгресса США. И ответил он в рамках программы, которую утвердило правительство.
            • +1
              Они могли и должны были первый раз ответить сами и дать инструкции первым линиям, как в дальнейшем отвечать первому встречному на такие вопросы.
            • +3
              То есть, дурака валять и отвечать чушь можно, а сформулировать стандартный ответ — нельзя?
        • 0
          Ну собственно ожидал услышать, что проблема с законодательством. Можно было бы хотя бы что-то вразумительное ответить.
          • –1
            а зачем вы задаёте вопрос, ответ на который сами знаете? Вам скучно и хочется поприкалываться над суппортом? Или потестировать их систему отклика? Уверен, техподдержке и без вас есть чем заняться.
            • +1
              А я и не знаю. Если у меня есть предположение, это еще вовсе не значит, что оно верное
      • +6
        Вопрос «почему?» вообще довольно часто, как я заметил, вызывает недоумение: мол, вот вам факт, зачем вам причины-то знать, это же ничего не изменит все равно… Несколько раздражает порой.
    • +4
      По поводу тупизны, недавно пытался оплатить через paypal посылку в shipito, но так как ящик Shipito расположен не в России, а в Калифорнии, оплатить посылку они мне не дали.
      Вопрос: какое дело платежному сервису, куда я отправляю свои посылки, если за операцию они получают свой процент?

      Может быть я не прав и кто-нибудь объяснит причину такой несправедливости?
      • 0
        Вы на ебей покупали, наверное? В этом случае, нужно своим «основным» адресом поставить адрес в США (шипитовский)
        • 0
          В магазине Valve покупал :-) Ему я указывал исключительно адрес в США.
      • +1
        Ну так оплата покупки с доставкой на адрес в другой стране — явный признак того что аккаунт украли )
        У кредитных карт на этот случай еще и AVS есть, правда работает только в штатах.
        • +1
          т.е. фактически PayPal защищает себя и продавца от вероятного последующего рефанда в такой ситуации
          • 0
            Ага, и с каждым годом магазинов, не принимающих русские кредитки, становится только больше.
            Раньше и Valve и ThinkGeek принимали.
    • 0
      Мне, видимо, повезло с PP — ни разу не банили :) Однако, саппорт у них уж точно странный: обращался к ним несколько раз по разным вопросам, и ни разу не получил сколь-нибудь вразумительного ответа.
      • +2
        Это до поры до времени. Однажды их «прекрасная» система решит, что вы согрешили, и доказать обратное будет сложно.
        • 0
          Вряд ли у них найдётся основание для этого. К тому же, насколько я знаю, бизнес-аккаунты они блокируют довольно редко (а у меня именно такой), и там уж надо постараться согрешить.
          • +6
            У меня бизнес-аккаунт, и меня забанили абсоюлютно на пустом месте. Потом разбанили так же без объяснения причин.
    • +2
      Абсолютно согласен. Уже как год мои редкие попытки зарегистрироваться заново после пожизненного беспричинного бана не заканчиваются успехом. Регистрировался уже и с других IP, с другой почтой — каким-то образом таки просекают. К счастью есть другие способы оплаты, но не везде конечно. Тот же e-bay теперь закрыт для меня. Чёрт!
      • 0
        Попробуйте позвонить туда. Там русскоговорящие операторы, и мне лично повезло — я разговаривал со вполне вменяемой девушкой, которая действительно помогла и в целом была очень адекватна.
        • 0
          У Paypal русская техподдержка есть? Честно, не знал. Спасибо попробую.
    • +1
      Ну так, неспроста самая известная картинка Пейпаловского саппорта выглядит так
      image
  • +7
    Интересно, подаст ли PayPal в суд на этого парня?
    • +48
      Если они считают тех, кому нет восемнадцати, фактически никем, то как они выиграют суд у никого (при адекватности судьи)? :)
      • +59
        Так он никто, если деньги ему платить. А вот если от него деньги получать — тут всё сразу играет другими красками :)
        • +9
          Судья Германии это учтет.
          • –16
            Дада, Европа — рай земной.
            • +11
              Нет не рай, но за своих они биться будут, а в Германии довольно хорошое правосудие в плане защиты простого люда.
              • +1
                только недавно на хабре эту тему поднимал )
                плюсую.
              • +3
                Было бы прекрасно проиллюстрировать ваши слова реальным делом, в котором транснациональная корпорация проиграла бы «простому человеку» (одному, а не целой «общественности»). Познакомив меня с подобной историей, вы опровергните мой скепсис и я не буду выказывать его так однозначно впредь.
                • 0
                  Я тоже задался таким вопросом, но сходу с корпорациями не нашел. Но с самими судами — запросто (http://translate.googleusercontent.com/translate_c?depth=1&hl=ru&rurl=translate.google.com&sl=de&tl=ru&u=http://www.bverwg.de/presse/pressemitteilungen/pressemitteilung.php%3Fjahr%3D2013%26nr%3D49&usg=ALkJrhjCQh5k3JbqnhQALB2MNvf-yn47rQ)

                  Если кратко — присудили компенсацию за чрезмерно длительное рассмотрение дела в судах.
                  • 0
                    C 27 мая по 17 октября вы искали «сходу» хоть один случай, в котором транснациональная корпорация проиграла бы «простому человеку» — и не нашли.
                    • 0
                      Нет, этот текст и ваш комментарий я прочитал только сегодня утром, увы. Да, люди иногда читают старые тексты — так бывает :)
              • 0
                мне почему-то прочиталось:

                в Германии довольно хорошое правосудие в плане защиты от простого люда.
                • +11
                  Вспомнилось:

                  Отличие школ Ландау и Бора (а в некотором смысле – школ во главе с ЛИЭ и с ИЛЭ) хорошо прослеживаются в таком эпизоде. «Когда Нильс Бор выступал в ФИАН, то на вопрос о том, как удалось ему создать первоклассную школу физиков, он ответил: «По-видимому, потому, что я никогда не стеснялся признаваться своим ученикам, что я дурак…». Переводивший речь Нильса Бора Е.М.Лифшиц донёс эту фразу до аудитории в таком виде: «По-видимому, потому, что я никогда не стеснялся заявить своим ученикам, что они дураки…» …Сидевший в зале П.Л.Капица глубокомысленно заметил, что это не случайная оговорка. Она фактически выражает принципиальное различие между школами Бора и Ландау, к которой принадлежит и Е.М.Лифшиц»
                  • 0
                    минусанул комментарий по ошибке, скомпенсировал в карму.

          • +1
            Формально, в Европе PayPal — не просто какая-то там американская контора, а очень даже европейский банк PayPal (Europe) Sàrl et Cie SCA, Luxembourg.
            Наверняка немецкий судья должен будет учесть и это.
            • 0
              XSS был на сайте на домене .com, принадлежащему
              eBay Inc.
              2145 Hamilton Avenue
              San Jose CA 95125
              US

              Это мультинационалы Американские, а их в Европе еще больше не любят.
    • +9
      А тут нету состава преступления — парень им честно отправил репорт, они не выплатили вознаграждения => НЕ считают это багом => ничего парень не нарушал — т.к. данный результат был предусмотрен by design.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +7
          Заплатите мороженым.
        • +2
          Ну а перевести бабло родителям/доверенному лицу им религия не позволяет?
        • +2
          Вот Вы и не правы — парень как раз отправил им баг репорт, но оплаты НЕ получил. Соответственно они были уведомлены, а если их тех. персонал слоупоки то это их проблемы.
  • +44
    Всё правильно сделал.
    • –4
      Ага :-)
  • +6
    Получить через родителей/друзей нельзя?
    • +18
      Парень вероятно хотел отметиться в «почётном списке», так скажем, вообщем вполне стандартное пожелание, да и в случае с трудоустройством даже тыкнуть туда нанимателя — большой плюс, поэтому давать такую халяву друзьям не резон (хз какие они друзья), а вот сколько ему оставалось до 18 лет… вот это вопрос. Хотя конечно долго ждать в такой ситуации тоже чревато проигрышем «по всем фронтам», а таким способом он хоть и денег не получил, зато шикарно отметился в истории PayPal'а xD

      Одним словом, ждём обратной реакции, но надеюсь всё пройдёт по-уму.
      • –26
        Денег не получил, да и в добавок закон нарушил. «Идеальный» кандидат для нанимателя…
        Хотя конечно его реакция понятна, но не вполне адекватна. Нужно быть более сдержанным и принимать правила игры.
        • 0
          Ну снова придирки к словам, прошу прощения за такую прямоту, но это лишь пример. Первое, что пришло в голову. Может он вообще просто таким образом поднял ЧСВ… нам отсюда не видно всей картины.
        • +39
          Какой закон?
          • –4
            По поводу нарушения закона, видимо, не прав. Почему-то подумал что человек выложил описание уязвимости до ее устранения. Хотя вроде есть ведь определенный срок, только после прошествии которого разрешается публиковать уязвимости, нет?
            • +13
              Вроде кроме доброты душевной ничто не запрещает публиковать 0day до исправления.
            • –1
              Он и так выложил до исправления ;)

              Но пока не ясно, можно ли эту уязвимость эксплуатировать.
      • +3
        Вот Mozilla — молодец в этом деле.
        Как я говорил, когда мой четырнадцатилетний брат нашел баг в Firefox, никаких вопросов с выводом денег не было. Я просто дал свои реквизиты счета и все. В "почётном списке" было указано именно его имя.
    • +12
      Вообще это PayPal в идеале должен париться по поводу того, как отблагодарить парня — если есть какие-то реальные препятствия с выплатой вознаграждения тем, кому нет еще 18, то проблема должна быть у PayPal'а, и они должны ее решать, а не кидать таким вот образом. Ведь наверняка если подойти к этому вопросу не со стороны бюрократии, а со стороны решения конкретной проблемы, то можно ее решить так, чтобы все остались довольны.

      Кто хочет, ищет возможности, кто не хочет — ищет причины (с).
  • +3
    Скупердяи ИМХО, или же просто не поверили ему
    • +3
      Всё мне кажется гораздо банальнее: парень попал на оператора, которому оставалось 15 минут до конца рабочего дня, вот он и пропустил мимо ушей. Думаю у такой компании найдется десяток килобаксов студенту =)

      PS опубликована уязвимость в Fri, 24 May 2013 18:38:44 +0200, я понятия не имею насчёт того в каких часовых поясах это происходило и какой рабочий график у операторов, но если учесть один и тот же часовой пояс, и график работы «до 18.00», студент как раз после отказа один час думал «что бы такого сделать плохого»… ну и запостил всё это дело.

      Элементарно, Ватсон!
      • 0
        Ха, это как история с багом gmail, когда мне приходили письма к некому e.quand (мой equand).
        Сначала я думал, что это спам и удалял письма, как оказалось прошерстив хедеры (с DKIM и SPF bank of america) — это не спам, а письма к какому-то китайцу в США, мне попадались его паспортные данные, данные на авто, письмо от банка и страховок и другие данные (о том что и кто у его подруги родился и когда отмечать будут), даже фотографии некоторые. На лицо полный leak персональных данных (правда в 2009-2012 гг.)
        Однако письма не попадали постоянно, раз в месяц такой подарок был… До сих пор висят в ящике (хотя фото мне стерли кто-то из гугла)
        В итоге решил я написать в гугл, что мол у Вас бага и vulnerability, я ее обнаружил, давайте мне что полагается. Ни ответа, ни привета, а письма прекратились…
        Вот тебе и справедливость, когда могут тогда и награждают.
        • +11
          это не баг, это фича. и то что вам приходило скорее всего действительно спам.
          гмейл не отличает точек в имени.
          т.е. ящики equand, e.quand, и даже e.q.u.a.n.d — все ваши. никто не сможет зарегистрировать ящик отличающийся от вашего только точками.

          ссылка на описание в хелпе — support.google.com/mail/answer/10313?hl=en
          • 0
            То есть bank of america мне Спамит?
            Там фишка в том, что не хватало одной буквы в начале — l.
            А email был у него с точкой (gmail предлагает разделять имя и фамилию таким образом, то есть le.quand@gmail.com его email).
            Факт есть факт, почта с точкой не должна была мне поступать по rfc, не знал, что у гугла свои правила…
            • +2
              Вас конечно же не затруднит привести ссылку на RFC, в котором написано, что «почта с точкой не должна была мне поступать»?..
              Ещё лучше — конкретно на фрагмент с этой фразой.
              • 0
                tools.ietf.org/html/rfc822

                . специальный символ, которые разделяет email на «атомы».
                По сути, согласно RFC, equand и e.quand разные email и должны считаться именно так, потому что equand — один атом, а e.quand = «e quand» — два разных атома.
                • НЛО прилетело и опубликовало эту надпись здесь
                  • 0
                    Значит криво читаете, пункт 3.3. четко назначает точку "." special.
                    При этом atom = 1*<any CHAR except specials, SPACE and CTLs>
                    Далее
                    address = mailbox ; one addressee / group ; named list mailbox = addr-spec ; simple address / [phrase] route-addr ; name & addr-spec addr-spec = local-part "@" domain ; global address local-part = word *("." word)
                    А word = atom / quoted-string

                    Так что раз нет quoted-string (а в моем случае его не было) то точка является таки разделителем на два атома, что соответствует другом адресу.
                    И собственно все почтовые серверы будут направлять почту в MDA с этим адресом, который ведет на разные ящики по дефолту (хотя это можно изменить).
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • 0
                        +что_угодно — это по правилам.
                        Опять же в RFC указано это.
                        Только сейчас заметил, что code не отработало мои enter
                        Собственно вот и еще одна проблема только на хабре, когда что-то работает не интуитивно… :)
                        • НЛО прилетело и опубликовало эту надпись здесь
                          • 0
                            + не указан в special chars не является control char и space char соответственно может быть в local-part.
                            А про неразличие больших-маленьких — это только для postmaster (у него отдельный use-case есть).
                            Целый пункт про как раз-таки различие больших и маленьких — 3.4.7
                            local-part обязан различать их.
                            • НЛО прилетело и опубликовало эту надпись здесь
                              • 0
                                Никак — это их выбор, по идее это должны быть разные почтовые ящики, т.к. символ + не является специальным.
                                Как раз для подобного разделения есть спец. символы.
                          • 0
                            tools.ietf.org/html/rfc5233 вот тут про subaddressing.
                            • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  Должен признать — я не верно понял вашу фразу. В контексте вашего сообщения мной она была прочитана так, как будто адреса с точкой — вообще вещь не правильная, и для них доставка вообще выполняться не должна. Исходя именно из такого пнимания я и задавал свой вопрос. Так что — в этом был не прав, каюсь.

                  Ну и чтоб два раза не вставать — 822й уже несколько лет как устарел.
                  А роутинг адресов с плюсом (+) тоже в каком-то из рфц таки описан, это к «Где там про +чтоугодно?» от mifki.
                  • НЛО прилетело и опубликовало эту надпись здесь
      • +1
        Я больше склоняюсь к версии бюрократии: то есть сидит там state-machine-обезьянка на аутсорсе и смотрит входящие письма, действует по чётко описанному алгоритму, который говорит, что если нет 18, то посылать. Вот и посылает.
        • 0
          Обычно обезьянку можно обойти, обратившись уровнем выше. Чуть выше привыкли сами принимать решения, а не смотреть на инструкции.
          • 0
            Простому смертному — вряд ли. Иначе бы этот «уровень выше» повесился бы, есть большая категория людей, которые предпочитают сразу писать/звонить везде, куда могут дотянуться.
            • 0
              Говорю из личного опыта, чего уж там. Не надо добираться до директора и т.п. Достаточно всего лишь один уровень выше. Большинство же людей не инициативны, так что уровень выше вовсе не «вешается».
  • 0
    Яндекс, кстати, платит тем, кому нет 18.
    • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Далеко не на все работы и не с 8 часовым графиком. До 16 лет нужна бумага от родителей, что они не возражают, что их чадо будет работать.
  • +1
    Так а уязвимость то закрыли в итоге?
    • +1
      Проверьте, мало ли! А если пропадете из виду, то мы будем знать, что не исправили и вы теперь на Канарах. Или в застенках :)
      • +11
        Проверил. Работает. Не закрыли.
        • +1
          Вот и начинка нового дополнения для Blackhole XD
    • 0
      Нет, эта уязвимость сейчас работает.
  • +10
    "'<script>alert('habr')</script> — так тоже работает.
  • –5
    Уязвимость находится в поисковой форме и работает только при передаче через POST, так что использовать её в подобном виде невозможно.
    Показательно и то, что парень не смог даже выщемить значимую часть, явно искал с помощью автоматического сканера.

    Возраст здесь ни при чём, обычная желтуха раздутая из-за неудачной отписки.
    • +4
      XSS через POST = XSS + CSRF. Все возможно.
      • –2
        Бинго, отсутствие CSRF токена серьёзный баг, который позволит юзать xss уязвимость, надеюсь вам больше 17-ти и вы сможете получить своё вознаграждение. Интересно, только в поисковой форме у ни такое, или в платёжных так же.
        • 0
          Мне больше 17, спасибо.
          И хочу сказать, что это форма поиска, которая вообще должна работать через GET (по стандартам) и, естественно, не иметь никаких токенов.
    • 0
      Делается пост запрос в скрытый фрейм, наш JS код в коде paypal, что мешает злоумышленнику теперь например перевести деньги от лица жертвы, или посмотреть его карточки визы и т.д.
      • 0
        если привязан токен — то перевод не сделать 100%
        • 0
          Есть техники по воровству анти-CSRF токенов без XSS :)
  • +27
    Я позволю себе вклиниться, но мою XSS тоже не приняли, хотя да, уязвимость поправили.
    До этого ждал 4(!) месяца, пока рассматривали заявку.
    Тупо разводят людей.
    • +5
      А у вас какая уязвимость была?
      • +2
        На домене paypal.com, через уязвимость в Flash файле, я успешно выполнил произвольный JS код.
        Который, собственно, давал проводить ЛЮБЫЕ операции, т.к был доступ к кукам.
        Честно, было просто обидно. Но фиг с ними.
        Пришел с ЕГЭ, паника, все дела.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Попросил бы запостить эту уязвимость старшего друга и получил бы деньги возможно…
    • +4
      А на работу устраиваться старшего друга бы взяли? Уж лучше скандал устроить и быть в центре внимания.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Но в резюме упомянуть же можно?
          Или упоминать друзей в резюме?
  • 0
    Такой вопрос должны были решить индивидуально, а не следовать правилам. Странно, что у них нет ограничения по максимальному возрасту!

    «To be eligible for the Bug Bounty Program, you *must not*:
    … Be more than 59 years of age…

    Сервис ПП, на самом деле, оставляет желать лучшего, уверен, что подобное отношение и во многих других отделах.
    А пацан, может разозлиться и ткнуть их по слабому месту, может тогда они адекватно и отреагируют.

    Пока к сожалению нет адекватной альтернативы или может, что-то подскажете?
    image
  • +11
    Забавно выглядит то, что PayPal не осознаёт где заканчиваются юридические заморочки, а где начинаются физические законы и реальность. Наличие бага — оно объективно независимо от возраста нашедшего и никакие писульки на их сайте этого не меняют. С тем же успехом можно было бы написать в документе "мы запрещаем электрическому току пропадать в розетке, если провод был перерезан лицом младше 18 лет" и основывать на этом систему бесперебойного питания дата-центра.
  • +1
    С палкой не хочется работать именно после таких случаев, примерно через неделю после обьявления баунти хантинга активную XSS-ку в основном интерфейсе — через довольно большое время ответили что она «не опасна» и не принята. Собтсвенно у гугла и яндекса с этим намного лучше — гугл отвечает в течение дня, также оперативно выводит на специалистов для обсуждения и не менее оперативно фиксит и платит, яндекс немного слоупочит, но тоже в целом неплохо :)
  • 0
    Любопытно, на что надеялся парень отправляя свой баг-репорт. В правилах же написано «с 18 лет». Или он надеялся, что компания офигеет от его крутости и сделает для него исключение?
    • НЛО прилетело и опубликовало эту надпись здесь
      • –1
        Все же думаю, что он хотел в первую очередь славы, иначе бы ограничился отсылкой баг-репорта.
        • +1
          Не он требовал от PP денег, а PP заявила, что будет платить деньги за найденные уязвимости, но как только уязвимость нашли от своих слов отказалась.
          Так что не в славе тут дело, а в том, что о компаниях, которые отказываются выполнять свои обязательства, в любом случае нужно сообщать миру.
          • –2
            Не, ну я не понимаю, в чем проблема! PP заявила, что выдаст вознаграждение любому
            1) кто найдет уязвимость
            2) кому больше 18 лет.

            Условия не выполнены? Подросток может идти, а баг-репорт «я попрошу остаться».
            • +1
              На странице программы ( www.paypal.com/us/webapps/mpp/security/reporting-security-issues ) нет ни слова про возраст. Про возраст придумали уже после того, как багрепорт был написан в соответствии с этой программой.

              Гугл говорит нам, что на сайте paypal.com фразы из письма, которой прикрылся саппорт («Be less than 18 years of age.If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.») просто нет.
              • +1
                В таком случае я, конечно, был неправ.
  • –1
    Зачёт!
    К успеху идёт.
  • –2
    Всё правильно сделал.
  • +2
    Robert Kugler, 17-летний студент из Германии

    На всякий случай: школьник он, а не студент. Не нужно буквально переводить.
  • –1
    Да. Вспоминаю себя в 14-17 лет. Когда тебя государство реально ни во что не ставит. Ты даже чихнуть без согласия родителей не можешь. Столько было идей, амбиций и возможностей, но все упиралось «с разрешения родителей» или вообще просто «с 18 лет». Почти каждый день я пытался затащить мать или отца к нотариусу, но рабочее время родителей и нотариуса в нашем городке совпадало, а работали они в большом отдалении.
  • 0
    Забавно. Палка таки дернулась, после того как статья об этом попала на PCWorld + MSN Today… и сказали — чувак, ты не поверишь™ — этот баг уже открыли до тебя. А ты, весь такой плохой, всем рассказал, ай яй яй =)

    seclists.org/fulldisclosure/2013/May/200 — тут подробнее.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.