Тема: YandexBugBounty
Показать сообщение отдельно
Старый 25.12.2012, 20:55   #5
shr
 
Регистрация: 05.10.2012
Сообщений: 1
Репутация: 2
По умолчанию

XSS, 5к
Видя в твиттере, как народ ломанулся искать уязвимости, я решил посмотреть туда, куда вряд ли кто-то заглядывал, чтобы из-за задержки в пару дней не столкнуться с тем, что уязвимость кем-то уже зарепорчена. Хотелось сразу найти баг и посмотреть, как быстро выплачивают и стоит ли искать. Опыта в багхантинге за деньги не было. Через час было найдено 2 бага, 1 из которых XSS.

Цитата:
Сообщение от письмо от 24.09.2012
XSS
http://mobile.yandex.ru/samsung/virtualphone/#!/wave_3//ololo<img
src=x onerror=alert(document.cookie)>

Работает на
chrome 21.0.1180.89 m
opera 12.02

firefox 15.02 почему-то игнорирует # и отправляет запрос без нее, в итоге 404

Модифицированый url в каких-то случаях может зацикливать браузер
(chrome, firefox), но это воспроизводится нестабильно и вам вряд ли
будет интересно.
Забавно то, что через какое-то время вышел update chrome и xss перестала работать. Повезло

Пофиксили так, 305-306 строки script.js:

Код:
var path = encodeURIComponent(event.path);
fixLinks(path);
Судя по комментариям, промо-страничку делали в одной известной студии и бага тоже их. Код там адский ад, поэтому я не стал особо вникать.

Старая версия PHP, 3к

Тоже самое письмо от 24.09.2012

Цитата:
1. Предположительно A06. Ошибки конфигурации веб-окружения

Вообще маловероятно, что такая старая версия PHP работает, но вдруг.
Со страницы http://mobile.yandex.ru/tune.xml?app=yandexinstance отправляется запрос

Код:
GET /sendgprssms.php?retpath=http%3A%2F%2Fmobile.yandex.ru%2Fstatus%2F&operator=1&suggest=HTC+Desire+S&countrycode=7&code=916&phone=1231231&brand=131&models-131=20&smsid=20 HTTP/1.1
 User-Agent: Opera/9.80 (Windows NT 6.1; WOW64; U; ru) Presto/2.10.289 Version/12.02
 Host: md.ya.ru
 Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/webp, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
 Accept-Language: ru-RU,ru;q=0.9,en;q=0.8
 Accept-Encoding: gzip, deflate
 Referer: http://mobile.yandex.ru/tune.xml?app=yandexinstance
 Cookie: PHPSESSID=7c998e1da895a47ca8dfc504bf7d422b
 Connection: Keep-Alive
Ответ

Код:
HTTP/1.1 302 Moved Temporarily
 X-Powered-By: PHP/5.2.4-2ubuntu5.17
 Expires: Thu, 19 Nov 1981 08:52:00 GMT
 Pragma: no-cache
 Cache-Control: no-cache
 Content-Type: text/html; charset=windows-1251
 Location: http://mobile.yandex.ru/status/?status=gprsok&app=
 Content-Length: 0
 Date: Mon, 24 Sep 2012 07:30:38 GMT
 Server: lighttpd/1.4.26
 X-Cache: MISS from webproxy
 Via: 1.1 webproxy (squid/3.2.1)
 Connection: keep-alive
В ответе видно
X-Powered-By: PHP/5.2.4-2ubuntu5.17

Работает и пасхалка
http://md.ya.ru/sendgprssms.php?=PHPE9568F36-D428-11d2-A769-00AA001ACF42

Судя по
http://habrahabr.ru/post/88966/
http://www.0php.com/php_easter_egg.php
COLORED PHP LOGO:
PHP Version 5.1.3 - 5.2.13

Версии php до 5.3.9 уязвимы к hash collision (DoS)
http://www.cvedetails.com/cve/CVE-2011-4885/

Эксплоитами проверять не стал.

Кстати, этот сервис вообще работает? Мне ни одна смс не пришла, хотя пишет, что отправлена.

Также можно манипулировать адресом в параметре retpath. Редирект на mobile.yandex.ru.example.com проходит.
Редирект проигнорили, сами страницы, похоже, удалили.

Последний раз редактировалось shr; 25.12.2012 в 21:27..
shr вне форума   Ответить с цитированием