[BugBounty] Частковий обхід аутентифікації vk.com

Поставив перед собою завдання — обійти аутентифікацію Вконтакте. Коли ip адресу людини, яка входить на аккаунт vk змінюється, потрібно ввести повний номер телефону. Якщо зловмисник входив через телефон; пароль, то він зможе вчиняти дії на акаунті. Але якщо він входив через email; пароль або через підміну cookies, то він не зможе здійснювати якісь дії на акаунті.

imageВся інформація надана виключно в ознайомлювальних цілях. Я не несу відповідальності за можливу шкоду, завдану матеріалами цієї статті.

Читати далі →

Оновлення для міжмережевих екранів Juniper відкриває несанкціонований root-доступ до пристроїв



Компанія Juniper попереджає своїх користувачів міжмережевих екранів SRX про те, що випущене системне оновлення містить критичну уразливість в результаті якої можливий несанкціонований root-доступ до пристроїв. Уразливі всі системи, користувачі яких використовували команду «request system software» з встановленою опцією «partition».

У своєму першому в 2017 році бюлетені безпеки компанія пише про те, що в результаті оновлення «система може опинитися в стані, при якому root-логін для командного рядка стає доступним без пароля». У зоні ризику всі системи оновлені з Junos OS версій до 12.1X46-D65.
Читати далі →

Вразливість Viber, що дозволяє прослуховувати чужу розмову

image
На можливість прослуховування чужих розмов у Viber я натрапив випадково ще на початку жовтня 2016 року. Уразливість мені здалася не дуже приємною, тому я зв'язався зі службою підтримки, описав алгоритм для відтворення нестандартного поведінки месенджера.

Пишу цю публікацію в надії привернути увагу Хабрасообщества і її більш широкому розголосу в надії, що це спонукає розробників виправити цей прикрий баг, так як спілкування через електронну пошту зі службою підтримки Viber результатів не принесло.

Поки написав статтю, виправили проблему оновлення прийшов вчора на телефон, але вона все ще актуальна для оновлених

Читати далі →

Iframe injection та XSS на більш ніж 20 000 сайтах alexarank

Я незалежний дослідник безпеки securityz.net перше місце в bug bounty Приватбанку.

Вирішив пройтися по топу alexarank, почав шукати уразливості на gismeteo.ua (20 місце). Стався редирект на російську версію (www.gismeteo.ru/soft/), звернув увагу на тех. підтримку.

Читати далі →

Уразливості виконання довільного коду в PHPMailer і SwiftMailer

В останні дні було зареєстровано три уразливості, які стосуються PHPMailer і SwiftMailer:
Всі три звіту про уразливість згадують фреймворк Yii поряд з іншими PHP-фреймворками як уразливий, тому мета цієї статті — з'ясувати, хто саме схильний до цієї проблеми і що потрібно зробити для того, щоб убезпечити себе.
Читати далі →

Уразливість в платіжному сервісі Платинум Банку (Україна)

Не так давно я вирішив протестувати черговий банк або платіжну компанію на предмет наявності простий, але від цього не менш популярною уразливості виду «Можливість перегляду операцій інших клієнтів».

Чому я пишу, що ця вразливість проста? Тому що українська електронна платіжна система Portmone.com в минулому році мала таку помилку. Як і Фідобанк (пост на Хабрахабр). Втім, як і згадані там же Qiwi або Тінькофф Банк — прикладів безліч. А скільки ще не знайдено, не опубліковано…

Отже, з метою розминки мозку мені захотілося перевірити когось ще. А в кінці серпня "Platinum Bank представив новий платіжний портал pay.ptclick.com.ua".

Про Платинум Банк з офіційного сайту:
Platinum Bank – один з найбільших учасників вітчизняної банківської системи. Відноситься до І групи банків згідно рейтингу НБУ (на частку Platinum Bank припадає понад 0,5% активів банківської системи України). Регіональна мережа налічує 69 відділень і 1080 пунктів продажу в різних регіонах України…
Також банк активно працює над проектом Digital Bank. Зокрема, активно розвиває платформу pay.ptclick.com.ua і лабораторію фінансових інновацій Platinum Lab.


Ось його я і вирішив перевірити на очевидну вразливість.

Реєстрація на порталі pay.ptclick.com.ua гранично проста — e-mail + пароль і поле для капчі.



Читати далі →

Mozilla і Tor закрили критичну вразливість, яка активно використовувалася для деанонімізація користувачів Tor



Розробники Mozilla і Tor в терміновому порядку виклали патчі для браузерів, які усувають критичну 0day-уразливість браузера під Windows, Mac і Linux. мнению незалежного експерта, новий експлойт майже в точності ідентичний эксплойту для 0day-уразливості 2013 року (виконання довільного коду після завантаження в браузер спеціально складеного JS-скрипта), яку успішно використовувало ФБР для деанонімізація користувачів Tor, в тому числі відвідували сайти з дитячою порнографією.

Читати далі →

В системі оновлень Windows 10 виявили просту, але потенційно небезпечну уразливість перевищення повноважень

image

Фахівець у галузі інформаційної безпеки Самі Лайхо днями у своєму блозі «win-fu» опублікував запис, в якій розповідає про простий, але потенційно небезпечної уразливості в системі оновлень Windows 10 «Feature Update», використовуваної для великих оновлень ОС.

Уразливість актуальна для зборок Windows 10 RTM -> 1511 або 1607, а також в пізніших insider-збірках аж до жовтня. У подальших латках вразливість була закрита. Лайхо позиціонує себе як White Hat, тому чекав фікса перед публікацією інформації, але уразливість може бути актуальна на системах, які автоматично не оновлюються.

Читати далі →

DDoS-атака на Ощадбанк, Альфа-Банк, Банк Москви, Росбанк і інші

У середу, 9-го листопада, джерело, близьке до ЦП, повідомив, що п'ять великих банків РФ з вівторка піддаються DDoS-атакам.

Атаки почалися у вівторок, 8 листопада, близько 16:00 МСК. Атаковані сайти, як мінімум п'яти організацій з ТОП-10 російського банківського ринку.

Середня тривалість кожної атаки склала близько години, сама довга тривала майже 12 годин. Деякі банки піддавалися атакам неодноразово – від двох до чотирьох атак з невеликим інтервалом між ними. Потужність атак досягала 660 000 запитів в секунду. Для атак використовувався ботнет, що складається більш ніж з 24 000 машин. Більше 50% пристроїв, що входять у ботнет, що знаходяться на території США, Індії, Тайваню і Ізраїлю. Всього в атаках брали участь в загальній складності машини з 30 країн. І так, це ботнет на основі Mirai. Про цей ботнет вже і на Вікіпедії є стаття.




Читати далі →

Додаємо довільний телефон у особистому кабінеті оператора мобільного зв'язку Київстар (Україна)

Я є клієнтом українського оператора стільникового зв'язку Київстар та користувачем їх веб-сервісу my.kyivstar.ua. Як і багато інші оператори Київстар пропонує веб-версію особистого кабінету, в якому можна переглянути баланс рахунку, деталізацію дзвінків, змінити тариф, замовити або відключити послугу тощо
Так само у них нещодавно була запущена нова версія особистого кабінету new.kyivstar.ua. У ній з'явилася цікава функція — додавання іншого телефону Київстар через смс верифікацію. Я взявся її перевірити на наявність вразливостей, так як вона фактично давала такий же доступ до потрібно додати телефону, як і до свого, що мене не особливо радувало, як клієнта.
Новий сайт має наступний інтерфейс додавання телефону:


Читати далі →