私の謙虚な意見では、GETパラメーターでの通常のSQLインジェクションのカテゴリーからのバグとパイプを介したコマンドの実行は遠い過去のものです。 数十人から数百人によって開発されているさまざまなフレームワーク、自動化されたテスト、および最高のプログラミング慣行により、2000年代の初めには当たり前だった可能性はほとんどありません。 私の意見では、現在の時間はレース条件、論理的なバグ、構成、そしてもちろんXSSの時間です。 これはさまざまな深刻な結果につながります。
実際に確認されている今日まで単純な重大な脆弱性があるという事実を否定せずに、ソーシャルネットワークVK.comの興味深いと同時に単純な論理バグについてお話したいと思います。
VKontakteがHackeroneに基づく脆弱性に対する報酬プログラムを開始したことは、少なくとも何らかの形で興味を持っている人なら誰でも知っています。 これを荘厳にハブで発表すると、ソーシャルネットワークは誰もが知っていることを受け取ったようですが、何らかの理由でそれを忘れています。 私はhabraeffectを意味します。 それ以外の場合は、レポートへの回答を不当に長く待つことを説明できません。 多少正確にするために、現時点での待機時間は6か月以上です。 忍耐強い患者であるため、多くのせっかちな記者がそうするように、私は特にVKチームを獲得しませんでした。 明確にするためにタイムラインを提供します。
05/31/15レポートが送信されました。
06/09/15 「トリアージ済み」のステータスを割り当てました。
07/21/15物事はどうですか?
09/08/15検討の時間に興味がある。
09/30/15 pingを送信しています。
6.11.15もう一度、バグの結果を思い出させます。 私はここに責任があると宣言します。
12/17/15別のping。
12/23/15 Habrに関する記事を書くことをお知らせします。
ご覧のとおり、レポートのステータスを変更することに加えて、 「ありがとうございます。 VKontakteは何の措置も講じていません。 間違いなく、写真のプライバシー、XSS、その他のユーザーに対する攻撃は、ソーシャルネットワークの予算に影響を与えるバグよりも重要です。 だから私は辛抱強く私の番を待っていました。 しかし、VK.comプログラムのオープンアクティビティを定期的に監視していると、何らかの理由でレポートが採点され、回答を待つことはありませんでした。 したがって、事件に対応するのに十分な時間を待って、私はあなたと私の興味深い発見を共有することにしました。
バグの説明は、vkontakte.ruのCPCモデルでターゲット広告が表示された瞬間から存在するという事実から始める価値があります。 この見落としによりVKontakteがどれだけのお金を失ったかはわかりません。 だから、クールなアービターになることを一度決めたので、彼は広告セクションにかなり長い時間を費やし、VKプログラマのこの省略に直面しました。
特定のアクションの組み合わせでは、広告のクリックごとに支払いをしない可能性があることが判明しました。 これは、同時に100ルーブルを支払うことで無制限の予算を統合でき、システムの最小しきい値を入力するためにのみ必要であることを意味します。 詳細については、5月31日に送信されたレポートの内容を引用します。
こんにちは。 私の意見では、CPCモデルによるターゲティングには重大なバグがあり、クリックあたりのコストを問わず、無制限でほぼ無料で広告をひねることができます。 POCには次のものが必要です。
-クリック単価で広告キャンペーンを作成します。
-彼女のために100ルーブルの制限を設定します、なぜなら 少ないことは不可能です。
-最小制限を達成するために、100 pを使用します。
-クリックごとのコストを0.5〜100に設定できるようになりました。たとえば、10ルーブルです。
-110 pの制限を設定します。
-キャンペーンを開始します。
-ステータスが「実行中」から「実行中」に変わるまで、キャンペーンページを更新します。
-制限を100 pに減らします。
さらに、統計では、インプレッションとリーチが表示され、すべてが通常どおりです。 クリックが発生すると、キャンペーンは停止し、このクリックは統計に表示されません。 お金は引き落とされません! ユーザーは広告されたページに正常にリダイレクトされますが。 これは、ユーザーがリダイレクトされるサーバーログで確認できます。
その結果、無制限のターゲティングにはキャンペーンあたり100ルーブルの費用がかかります。 これにより、数行のコードで、プロセスを正常に自動化し、複数のアカウント間で並列化できます。
私はシステムのアーキテクチャについて何も知らないので、評価するつもりはありませんが、それは論理的なバグに非常に似ています。 あなたの深刻さを判断するには:)
レポートがお役に立てば幸いです。
現在、モスクワ時間28.12.15 18:15、チップは完全に機能し、使用可能です。 スクリーンショットやビデオの説明は公開しません。何も保存しなかったためです。責任者は議論されていることをすぐに理解すると思います。 そして、記述のシーケンスを再現することは難しくありません。
おそらく私はこのエラーの重要性を誇張しているのかもしれませんが、これはそれほど重要ではありません。 しかし、私はまだレポートが彼らに役立つことを願っています。 そして、これは、少しの関心さえも与えなかったセキュリティ問題ではなく、会社の重要な問題を管理する人々に読まれます。
私にとって、この記事は、初心者であり、私であり、バグ修正に取り組む予定の人々を思い出させる追加の理由として役立ちます。 オブジェクトをデシリアライズするときにコードを実行するための複雑なチェーンを見つける必要がないこと。 大量の仕様やマニュアルを勉強する必要は必ずしもありません。 多くの興味深い、そしてしばしば重大なバグが表面上にあり、提供された機能を少し標準ではなく使用しようとするだけです。
魂のこの小さな叫びを読んでくれてありがとう。 すべての最高のおいしいバグ!
PS記載されているアクションを繰り返そうとしないでください。 この資料の個人使用は訴追される場合があります!
PPS公開の翌日( 12/29/15 )、バグは「重複」ステータスでクローズされました。 説明はありませんでした。