すべてのBug Bountyプログラムが同じように役立つわけではありません。
2013年3月、Badooは「Badooをテストしてください!」コンテストを発表しました。
コンテストには賞が集まり、サイトに登録されたYandexの脆弱性の発見に成功し、文字に含まれるリンクを確認して、Google検索バーに簡単に誘導しました。
最初に、確認せずに他の人のメールアドレスで登録するために使用できるリンクを発見し、返信で手紙を受け取りました
「ありがとうございます。これは脆弱性ではありません。 引き続き強度をテストしてください。」
Google Dorksクエリ、バグファインダー
Google Dorksを使用してリンクを検索できます;サイトでは、可能なすべてのクエリオプションが収集され、並べ替えられます。
その後、私はさらに「ささいなこと」を見つけました。答えは同じでした。
私の最後の発見は、badoo.comへのログイン、ユーザーアカウントへのフルアクセス、およびハッキングスキルを持たないために使用できる多くのリンクでした。 さまざまな国のユーザーアカウントから選択することができます。リンクをクリックするだけで認証されます。 さらに、リンクを複数回たどることができます。
たとえば、 サイトhttps://eu1.badoo.com/access.phtmlからGoogleにアクセスします。
リンクをたどって、ユーザープロファイルを取得します。
Badooとの対応
この場合、3番目の文字に対する回答のみを受け取りました。
「これは脆弱性ではありません。これは間違いであり、間違いなく修正します。
Googleインデックスページに関するいくつかのアプリケーションを送信しましたが、これらのアプリケーションはすべて、これは脆弱性ではないと言われています。
実際、合法的なユーザーの場合、このようなリンクは害を与えません。電子メールがすでにシステムにある場合、新しいユーザーは同じ電子メールで登録できません。
パスワードを変更するリンクについては、すべて無効です-それらにアクセスすると、「リンクの有効期限が切れています」と言います。
そのため、Googleの発行から超過分を削除しますが、すぐには削除しません。現時点ではインデックス作成は行われません。
それでも機能するリンクを見つけて、ユーザーに危害を加えることができる場合-他のユーザーに危害を加える方法について詳細な手順を送信してください。これは脆弱性と見なされます
私は他の人のアカウントにログインすることの危険性を説明しようとし、Habrahabrについての記事を書くことができるかどうかを尋ねました。
「もう一度、アプリケーションを注意深く見て、この問題はBadooの脆弱性ではないと判断しました。
ユーザーが私たちのサイトに登録するとき、彼自身が彼のメールを示します。 場合によっては、ユーザーが電子メールを指定します。たとえば、受信したすべてのメッセージを自動的に公開します。 または、ユーザー自身が何らかの方法で、認証リンクを含むBadooから受け取った手紙を公然と公開します。 その後、Googleは公開されたリンクを見つけ、検索結果にそれらを含めます。 birgo.mynet.comやtwitmail.comなどのサイトにアクセスすると、ユーザー自身が故意に、または誤って公開したという多数のメッセージが見つかります。
birgo.mynet.com/badoo/archive/2011/2
twitmail.com/email/146079226/29/3-people-on-Badoo-are-waiting-to-to-chat-with-you--
このようなユーザーアクションは制御されず、停止することはできません。 ただし、数週間前に、人気のある検索エンジンで見つかった認証リンクを自動的に無効にする手段を講じました。 そのため、GoogleのSERPにある膨大な数のリンクのうち、アクティブなままであるのはごく少数です。 Googleがインデックスを作成したのは、アクションを起こす前です。 インデックスを再作成すると、そのようなリンクはすべて無効になります。
申請に対する審査員のこの決定は最終的なものです。 」
カスタマーケア
Badooとの通信から4か月以上が経過しましたが、Googleでは、使い捨てではない認証リンクを引き続き見つけることができます。
別の興味深いクエリ: inurl:register.phtml site:badoo.com
このクエリは、次の形式のリンクを見つけます。
eu1.badoo.com/invite/register.phtml?u=243016784&i=72376&p=8&e=Anna%40yahoo.com&uin=ANY_EMAIL.COM&m=21&n=YWx1bW5pX2llZmV1aWlAeWFob29ncm91JIUYYUKJUU
これはユーザーのサイトへの招待です。このリンクでは、以前にサイトに登録されていないメールをUINパラメーターとして転送できます。登録を確認する必要はありません。 唯一の不便は、Googleのリンクをクリックしてメールを置き換えた後、ブラウザのCookieをクリアする必要があることです。
登録例uin = Any%20email 、検証チェックなし:
Badooは他の誰かのアカウントでの許可の可能性を脆弱性とは見なしていないため、この記事を書くことにしました。
PS Googleのバグを探す: inurl:phtml site:badoo.com
PPSコメントでのBadooの応答後、リクエストinurl:forgot_enter site:badoo.comで 、アクティブに使用されているアカウントにアクセスすることができました( ビデオプルーフ 、ファイルは任意のブラウザーで開くことができます)。