Comments 31
В статье акцент на размере выплаты, за уязвимость такого уровня можно было и побольше заплатить, например $31337.
+4
В следующий раз наука будет — нефиг сообщать об уязвимостях уязвимым: это либо гроши либо вообще риск на судебный иск нарваться.
+9
Я не согласен с тем что Google за уязвимости платит гроши или риск нарваться на судебный риск. Вы можете привести пример того как кто-то находил уязвимость и после того сообщал о ней Google получал судебный иск? Конечно, вы можете минусовать просто так, а можно посмотреть на количество открытых баг баунти программ или на размер публичных выплат по этим программам в прошлом году (сслыка 1 и ссылка 2). Google даже за чужие баги теперь платит, поверх того что заплатит сам разработчик.
+2
Я не пытаюсь кого-то оправдать, но мне интересно почему автор не пишет в статье пытался ли он торговаться и доказать что уязвимость серьезная, что как вы знаете является нормальной практикой в таких ситуациях. Что было в его переписке никто кроме него самого и инженеров гугла не знает. Мог бы и выложить небольшую часть переписки, кстати говоря.
0
UFO just landed and posted this here
Мда… Парень наверно офигел увидев чек с такой мизерной суммой. Интересно, а как рассчитывается сумма вознаграждения?
+2
Как говорится, его пример — другим наука. Изображать из себя «честного добропорядочного хакера» перед Google — означает оказаться в дураках. И это, стоит заметить, не первый случай. Впредь, надеюсь, ни один хакер не позволит сказать о себе «умная голова дураку досталась».
+1
Есть еще и мораль как бы, одно дело, если бы он хотел сам воспользоваться, а другое, если бы он пытался на этом заработать.
+1
Если известно (а это давно известно), что на найденные уязвимости эта компания реагирует вот так — ну что ж, тогда действуем по принципу «кого поймал, из того и шапка». Вот и вся мораль. Как было показано в статье и как неоднократно замечалось раньше, «сделать шапку» из найденной уязвимости было рациональнее, чем пытаться её «честно» продать барину в лице Google.
0
По сути — это очень критическая уязвимость. Тонны траффика, деньги и репутация.
Человечеству повезло, что этот человек слил уязвимость в Google.
И какой же позор для одной из самых богатых корпораций, способной нанимать лучших инженеров, что такую уязвимость они не закрывали так долго.
Человечеству повезло, что этот человек слил уязвимость в Google.
И какой же позор для одной из самых богатых корпораций, способной нанимать лучших инженеров, что такую уязвимость они не закрывали так долго.
+2
Я полагаю, что использование такого достаточно быстро отследили бы и оперативно закрыли.
Возможно, есть заметное влияние на рейтинг сайтов, которые используются для продвижения.
0
UFO just landed and posted this here
При таком вознаграждении (учитывая еще сколько его пришлось ждать) гораздо профитнее было бы заниматься арбитражем трафика, используя найденную уязвимость =) Гугл — корпорация зла.
+1
А наши компании могут вооще игнорировать.
Недавно нашёл багу в МТС. Сообщил о ней. Исправили и даже не ответили..
+2
По правде говоря, это уязвимость не только гугла, но и атакованных сайтов. Классика жанра же — нельзя разрешать редиректы на левые сайты.
https://www.owasp.org/index.php/Unvalidated_Redirects_and_Forwards_Cheat_Sheet
+2
Лучше бы эксплуатировал уязвимость. Мог заработать гораздо больше…
0
Позвольте обратить внимание на некоторые детали которые могут дать повод задуматься о том насколько это серьезная уязвимость.
1. Эксплуатация ее возможна только при условии наличии на сайте жертвы уязвимости позволяющей либо создавать на домене жертвы свой файл sitemap или существования возможности создания ссылок которые без подтверждения производят редирект туда куда атакующему нужно.
2. Манипуляция с hreflang накладывает ограничение на трафик — в общем случае он будет только для определенной страны/языка
Люди, которые работают на площадках с серьезным трафиком постоянно этот трафик мониторят. Потому что это их деньги. И резкое снижение трафика сразу же заметно. То есть при первом же использовании уязвимости на ком либо серьезном это будет тут же обнаружено.
В результате чего все последствия(относительно рейтингов и трафика) будут в течении нескольких часов аннулированы. И потери будут исчисляться только деньгами которые могла потерять одна контора на время потери этого трафика.
Игого: возможно только одноразовое использование, с целью насолить какой либо серьезной площадке (на несколько часов забрать часть ее трафика) или двум (если вторая позволит создать у себя на домене sitemap и перевести трафик на нее, что вероятно приведет к некоторым трудностям при разбирательстве) при условии наличия у нее уязвимости.
Так что мне все это видится чрезвычайно интересным, но при этом я бы не рискнул настаивать на том, что есть сценарии при которых можно было бы получить с этого какую то большую выгоду. За исключением очень специфической ситуации с желанием испортить нервы какой то одной конкретной жертве. Ни о какой массовой эксплуатации и слива трафика речи не идет в принципе. Все слишком заметно.
1. Эксплуатация ее возможна только при условии наличии на сайте жертвы уязвимости позволяющей либо создавать на домене жертвы свой файл sitemap или существования возможности создания ссылок которые без подтверждения производят редирект туда куда атакующему нужно.
2. Манипуляция с hreflang накладывает ограничение на трафик — в общем случае он будет только для определенной страны/языка
Люди, которые работают на площадках с серьезным трафиком постоянно этот трафик мониторят. Потому что это их деньги. И резкое снижение трафика сразу же заметно. То есть при первом же использовании уязвимости на ком либо серьезном это будет тут же обнаружено.
В результате чего все последствия(относительно рейтингов и трафика) будут в течении нескольких часов аннулированы. И потери будут исчисляться только деньгами которые могла потерять одна контора на время потери этого трафика.
Игого: возможно только одноразовое использование, с целью насолить какой либо серьезной площадке (на несколько часов забрать часть ее трафика) или двум (если вторая позволит создать у себя на домене sitemap и перевести трафик на нее, что вероятно приведет к некоторым трудностям при разбирательстве) при условии наличия у нее уязвимости.
Так что мне все это видится чрезвычайно интересным, но при этом я бы не рискнул настаивать на том, что есть сценарии при которых можно было бы получить с этого какую то большую выгоду. За исключением очень специфической ситуации с желанием испортить нервы какой то одной конкретной жертве. Ни о какой массовой эксплуатации и слива трафика речи не идет в принципе. Все слишком заметно.
+2
Очевидно же, что сумма чисто символическая.
0
Sign up to leave a comment.
Манипуляция поисковой выдачей Google