🤔Почему охота за багами — это смесь как технических навыков, так и упорства с любопытством? Простой и очень наглядный пример👇
Исследователь делится историей простого бага, который другие пропустили.
Вот как работало приложение: 1️⃣ Пользователи входили в систему, используя адрес электронной почты. 2️⃣ На их почту отправлялся одноразовый 6-значный код (OTP). 3️⃣ Этот код вводился для доступа к аккаунту — никаких паролей.
Но если вы попробуете перебрать OTP (это ~200k запросов и 2 часа времени), то среди массы ответов 401 увидите код состояния 200 OK.
🤫 Вот почему большинство багхантеров пропускают такие уязвимости (по мнению автора): 🟠Они видят ответы 401 Unauthorized или 429 и предполагают, что система реализовала эффективное ограничение частоты запросов. Если дать запросу дойти до верного OTP, станет понятно, как система на это отреагирует. 🟠Они останавливают Intruder до завершения списка. 🟠Им не хватает терпения, чтобы дождаться завершения грубого перебора.
🤔Почему охота за багами — это смесь как технических навыков, так и упорства с любопытством? Простой и очень наглядный пример👇
Исследователь делится историей простого бага, который другие пропустили.
Вот как работало приложение: 1️⃣ Пользователи входили в систему, используя адрес электронной почты. 2️⃣ На их почту отправлялся одноразовый 6-значный код (OTP). 3️⃣ Этот код вводился для доступа к аккаунту — никаких паролей.
Но если вы попробуете перебрать OTP (это ~200k запросов и 2 часа времени), то среди массы ответов 401 увидите код состояния 200 OK.
🤫 Вот почему большинство багхантеров пропускают такие уязвимости (по мнению автора): 🟠Они видят ответы 401 Unauthorized или 429 и предполагают, что система реализовала эффективное ограничение частоты запросов. Если дать запросу дойти до верного OTP, станет понятно, как система на это отреагирует. 🟠Они останавливают Intruder до завершения списка. 🟠Им не хватает терпения, чтобы дождаться завершения грубого перебора.
#bugbounty #tips
BY Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Matt Hussey, editorial director of NEAR Protocol (and former editor-in-chief of Decrypt) responded to the news of the Telegram group with “#meIRL.” ZDNET RECOMMENDS The initiatives announced by Perekopsky include monitoring the content in groups. According to the executive, posts identified as lacking context or as containing false information will be flagged as a potential source of disinformation. The content is then forwarded to Telegram's fact-checking channels for analysis and subsequent publication of verified information. Ng Man-ho, a 27-year-old computer technician, was convicted last month of seven counts of incitement charges after he made use of the 100,000-member Chinese-language channel that he runs and manages to post "seditious messages," which had been shut down since August 2020. The Standard Channel
from us
