🤔Почему охота за багами — это смесь как технических навыков, так и упорства с любопытством? Простой и очень наглядный пример👇
Исследователь делится историей простого бага, который другие пропустили.
Вот как работало приложение: 1️⃣ Пользователи входили в систему, используя адрес электронной почты. 2️⃣ На их почту отправлялся одноразовый 6-значный код (OTP). 3️⃣ Этот код вводился для доступа к аккаунту — никаких паролей.
Но если вы попробуете перебрать OTP (это ~200k запросов и 2 часа времени), то среди массы ответов 401 увидите код состояния 200 OK.
🤫 Вот почему большинство багхантеров пропускают такие уязвимости (по мнению автора): 🟠Они видят ответы 401 Unauthorized или 429 и предполагают, что система реализовала эффективное ограничение частоты запросов. Если дать запросу дойти до верного OTP, станет понятно, как система на это отреагирует. 🟠Они останавливают Intruder до завершения списка. 🟠Им не хватает терпения, чтобы дождаться завершения грубого перебора.
🤔Почему охота за багами — это смесь как технических навыков, так и упорства с любопытством? Простой и очень наглядный пример👇
Исследователь делится историей простого бага, который другие пропустили.
Вот как работало приложение: 1️⃣ Пользователи входили в систему, используя адрес электронной почты. 2️⃣ На их почту отправлялся одноразовый 6-значный код (OTP). 3️⃣ Этот код вводился для доступа к аккаунту — никаких паролей.
Но если вы попробуете перебрать OTP (это ~200k запросов и 2 часа времени), то среди массы ответов 401 увидите код состояния 200 OK.
🤫 Вот почему большинство багхантеров пропускают такие уязвимости (по мнению автора): 🟠Они видят ответы 401 Unauthorized или 429 и предполагают, что система реализовала эффективное ограничение частоты запросов. Если дать запросу дойти до верного OTP, станет понятно, как система на это отреагирует. 🟠Они останавливают Intruder до завершения списка. 🟠Им не хватает терпения, чтобы дождаться завершения грубого перебора.
#bugbounty #tips
BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Channel login must contain 5-32 characters Hui said the time period and nature of some offences “overlapped” and thus their prison terms could be served concurrently. The judge ordered Ng to be jailed for a total of six years and six months. In the “Bear Market Screaming Therapy Group” on Telegram, members are only allowed to post voice notes of themselves screaming. Anything else will result in an instant ban from the group, which currently has about 75 members. A new window will come up. Enter your channel name and bio. (See the character limits above.) Click “Create.” Over 33,000 people sent out over 1,000 doxxing messages in the group. Although the administrators tried to delete all of the messages, the posting speed was far too much for them to keep up.
from us
