Тема: YandexBugBounty
Показать сообщение отдельно
Старый 22.12.2012, 15:10   #3
BlackFan
 
Аватар для BlackFan
 
Регистрация: 08.07.2010
Сообщений: 354
Репутация: 402
По умолчанию

Настало время ох*ительных историй (прошло более 90 дней с начала конкурса)

Итак, конкурс начался 21 сентября, в пятницу, и, отложив все дела на понедельник, я вновь офигев от количества сервисов и объемов работы, начал беспорядочно пихать кавычки во все поля ввода. Просидев так примерно 1,5 часа и ничего не найдя, вдруг вспомнил про старые тикеты, посланные уже после окончания предыдущего конкурса "Месяц поиска уязвимостей Яндекса". В тикете от 9 января 2012 года было две HTTP Response Splitting на pass.yandex.ru и pass.moikrug.ru, из них неожиданно сработала вторая.

HTTP Response Splitting
Приз: 10к рублей

Код:
http://pass.moikrug.ru/?retpath=http://yandex.ru%0d%0aSet-Cookie:test=test
Решив, что это довольно интересная тема, решил ее пофаззить еще на тему Open Redirect.

Обход ограничений перенаправления
Приз: 5к рублей

До перенаправления происходит некоторая проверка ссылки и нормальный заголовок "Location" добавляется только если это домен, принадлежащий яндексу. Скрипт проверял ссылку расчитывая на то, что в домене будут только символы A-Z, a-z, 0-9, -, но браузеры вполне нормально обрабатывают и символ _.

Код:
http://passport.yandex.ru/passport?mode=logout&retpath=http://yandex.ru_.blackfan.ru/
http://pass.yandex.ru/logout?retpath=http://yandex.ru_.blackfan.ru/
http://pass.moikrug.ru/?retpath=http://yandex.ru_.blackfan.ru/
Ну и напоследок

Чтение участков памяти
Приз: 30к рублей

Если в ссылке сразу за доменом шел нулл-байт, то происходила мутная муть и в ответе вываливался кусок памяти, который включал в себя как какие-то бинарные данные, так и вполне осмысленные логи и запросы пользователей включая все cookie. Было бы интересно почитать комментарии от разработчиков, почему так происходило

Код:
GET /?retpath=http://yandex.ru%00aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa HTTP/1.1
Host: pass.moikrug.ru



Итого: 45к за первый день участия и все через один сервис и один параметр
В сумме за все участие на данный момент 99к и еще 2 баги в запасе.

Последний раз редактировалось BlackFan; 22.12.2012 в 18:33..
BlackFan вне форума   Ответить с цитированием