breakfix.ro

blog din pasiune cu ușoare arome tehnice

Eşti aici: Prima pagină » TEHNOLOGIE » BitDefender.com [LFI.OAuth.XSS]
bitdefender-logo

BitDefender.com [LFI.OAuth.XSS]

Leave a Comment

Acest articol poate conține link-uri afiliate. Dacă apreciezi conținutul de pe site, mă poți ajuta cumpărând de pe eMag, Fashion Days, PC Garage, Libris, fără costuri adiționale pentru tine.

După evenimentul nefericit din 12 Oct 2013,  aceștia au fost anunțati de un tânăr român că ar avea o vulnerabilitate LFI 1. După ce a fost reparată, acesta a fost contactat de o anumită persoană, probabil webmasterul, care i-a mulțumit și i-a propus o discuție care aparent nu a mai avut loc.

Continuând testele asupra companiei BitDefender a mai descoperit OAuth 2 bug care îi permitea  accesul la conturile utilizatorilor de pe My BitDefender. Aceștia au ales să securizeze vulnerabilitatea depistată de acesta și să mearga pe burtă nemaiavând chef să mai poarte discuția promisă cu persoana care le-a semnalat bug-urile.

Deranjat fiind de acest comportament, acesta a postat pe RST cele 2 buguri cât și un XSS care încă mai merge.

1.  LFI 

     Status: Fixed

     Link vulnerabil: Toate domeniile aparținând BitDefender.

     EXEMPLU: bitdefender.*** (.com, .net, .ro, etc.)

     YouTube proof.

2.  OAuth bug

      Status: Fixed

      Link vulnerabil: https://my.bitdefender.com

      YouTube proof.

3.  XSS 3

      Status: Still working

BitDefender XSS
BitDefender XSS

Mă gândesc totuși că ar fi fost frumos totuși să se țină de promisiune și să poarte discuția promisă cu tânărul. Până la urmă, le-a dat, nu le-a luat, cel puțin așa susține el.

Poate Alin Vlad, Global Social Media Coordinator @ BitDefender ar fi interesat. Alin a părăsit poziția în Ianuarie 2014.

Notes:

  1. LFI – sau Local File Inclusion este o vulnerabilitate web care permite atacatorului să includă fișiere din site-ul dumneavoastră și să le afișeze în browser. Practic atacatorul poate afișa conținutul oricărui fișier de pe server.
  2. OAuth – sau Open Authentication este un protocol liber prin care se poate permite accesul la resurse aflate pe un alt site fara a dezvalui datele de conectare (nume utilizator si parola) către site-ul in care se doreste accesul la acele resurse partajate
  3. XSS – sau Cross Site Scripting, este o vulnerabilitate web care permite atacatorului să injecteze scripturi client side în site-uri vizualizate de către alții.

Cine scrie?

Andrei Bădescu | Owner @ breakfix.ro
Social Media: LinkedIn | Twitter | Facebook | Instagram

Reader Interactions

Politică de comentarii: Gândește înainte să "vorbești". Șterg orice comentariu fără bun simț și în special care strică chi-ul altora.

Leave a Reply

Your email address will not be published. Required fields are marked *