Как мы ломали docshell.ru

Привет!

BugHunt ^[1] – это сервис публикации программ вознаграждения за найденные уязвимости. Мы помогаем различным организациям запустить собственные bug bounty программы и берём на себя всю рутину: разрабатываем условия программы, привлекаем к участию исследователей, обрабатываем отчёты и даём рекомендации по устранению дыр.
Получается почти как пентест, но дешевле, лучше, и платишь тут не за красивый отчёт, а за реальные дыры.


Первыми экономию на bug bounty программах заметили Google, Яндекс, Qiwi и другие ИТ гиганты (тут ^[2] полный лист), что, конечно, легко объяснить: чтобы организовать свою компанию по ловле дыр нужны кадры и бюджет.
Мы постараемся сделать так, чтобы программу вознаграждения за найденные уязвимости смогла позволить себе любая компания.

Программа вознаграждения за найденные уязвимости docshell.ru

Первым нашим клиентом стал сервис DocShell.
За 3 недели существования сервиса BugHunt и программы вознаграждения DocShell ^[3] мы получили почти 40 отчетов с информацией о различных дырах.

Из них примерно 10 отчетов (25%) были отклонены, так как дублировали информацию о найденной дыре (по правилам работы сервиса, кто первый сообщил об уязвимости, тот и получает вознаграждение).
Самой серьезной дырой, которую пока что откопали на сервисе DocShell, оказалась возможность читать чаты с техподдержкой других пользователей. Для этого достаточно было в URL www.docshell.ru/Chat/LoadHistory?destinationUserId=XXXX ^[4] вставлять произвольный параметр UserId. За эту дыру мы тут же выплатили 30 тысяч рублей (спасибо исследователю с ником sm!).
Другим исследователям повезло меньше, и средний объем выплаченного вознаграждения за одну дыру составил 5 тысяч рублей. Однако многие присылали нам сразу по несколько отчётов и в результате заработали не меньше.
Самой популярной уязвимостью стали различные типы CRSF атак, но все они требовали каких-либо активных действий на посторонних сайтах от имени авторизованного пользователя, поэтому мы присваивали таким уязвимостям низкую категорию опасности. В качестве защиты от подобных атак разработчики сервиса оперативно внедрили anti-csrf токены и отчётов поубавилось.
Слабым местом в безопасности сайта был так же механизм авторизации и восстановления пароля. Соответствующие формы допускали перебор пользователей и не были защищены от автоматического подбора пароля.
В виде исключения мы так же заплатили за найденную уязвимость в почтовом сервере Postfix (CVE-2011-1720), хотя он и не являлся частью сервиса docshell а просто висел с ним на одном ip адресе.
Кстати, программа вознаграждения за найденные уязвимости на сайте docshell.ru все еще действует, хоть и призовой фонд уже сильно похудел. Узнать о новых программах первыми можно через наш твиттер @bughuntru ^[5].
Вы так же можете проверить свой сайт ^[6] через наш сервис! Сейчас разработку и публикацию программ вознаграждения мы делаем бесплатно, поэтому если на Вашем сайте не найдут уязвимостей — вы не заплатите ни копейки.

Автор: BugHunt

Источник ^[7]