Pull to refresh

Comments 31

В статье акцент на размере выплаты, за уязвимость такого уровня можно было и побольше заплатить, например $31337.
В следующий раз наука будет — нефиг сообщать об уязвимостях уязвимым: это либо гроши либо вообще риск на судебный иск нарваться.
Я не согласен с тем что Google за уязвимости платит гроши или риск нарваться на судебный риск. Вы можете привести пример того как кто-то находил уязвимость и после того сообщал о ней Google получал судебный иск? Конечно, вы можете минусовать просто так, а можно посмотреть на количество открытых баг баунти программ или на размер публичных выплат по этим программам в прошлом году (сслыка 1 и ссылка 2). Google даже за чужие баги теперь платит, поверх того что заплатит сам разработчик.
Я не пытаюсь кого-то оправдать, но мне интересно почему автор не пишет в статье пытался ли он торговаться и доказать что уязвимость серьезная, что как вы знаете является нормальной практикой в таких ситуациях. Что было в его переписке никто кроме него самого и инженеров гугла не знает. Мог бы и выложить небольшую часть переписки, кстати говоря.
Но не похоже что бы он был сильно возмущен, в отличие от комментаторов на разных ресурсах. Для тех кто не читал оригинал статьи, слова автора: "Google have awarded a $1,337 bounty for this, and the Google team were a pleasure to deal with, as always. Thanks to them."
не похоже что бы он был сильно возмущен

Мне кажется, вы упустили из виду, что автор — британец.

А как британцы выражают возмущение и праведный гнев?

В баре поют "Боже, храни королеву"?

UFO just landed and posted this here
Мда… Парень наверно офигел увидев чек с такой мизерной суммой. Интересно, а как рассчитывается сумма вознаграждения?
Обычно, есть либо фиксированные цены и условия, либо ты каждый раз договариваешься о выплате, в прямом смысле торгуешься. Доказал что уязвимость критическая, заплатят больше.
Как говорится, его пример — другим наука. Изображать из себя «честного добропорядочного хакера» перед Google — означает оказаться в дураках. И это, стоит заметить, не первый случай. Впредь, надеюсь, ни один хакер не позволит сказать о себе «умная голова дураку досталась».
Есть еще и мораль как бы, одно дело, если бы он хотел сам воспользоваться, а другое, если бы он пытался на этом заработать.
Если известно (а это давно известно), что на найденные уязвимости эта компания реагирует вот так — ну что ж, тогда действуем по принципу «кого поймал, из того и шапка». Вот и вся мораль. Как было показано в статье и как неоднократно замечалось раньше, «сделать шапку» из найденной уязвимости было рациональнее, чем пытаться её «честно» продать барину в лице Google.
Мораль вещь субъективная, так что кто как воспитан, тот так и действует. Если компания так реагирует, это может быть поводом не сообщать, но это не может быть поводом использовать или продавать.
По сути — это очень критическая уязвимость. Тонны траффика, деньги и репутация.

Человечеству повезло, что этот человек слил уязвимость в Google.

И какой же позор для одной из самых богатых корпораций, способной нанимать лучших инженеров, что такую уязвимость они не закрывали так долго.

Я полагаю, что использование такого достаточно быстро отследили бы и оперативно закрыли.
Возможно, есть заметное влияние на рейтинг сайтов, которые используются для продвижения.

Согласен. Даже есть подозрение, что если бы человек слил уязвимость на сторону и ее начали бы эксплуатировать, то эту уязвимость законопатили бы значительно быстрее. Особенно, если тоннами начали сливаться деньги.

UFO just landed and posted this here
Сделай сам, если не устраивает существующее. В чем проблема то?
При таком вознаграждении (учитывая еще сколько его пришлось ждать) гораздо профитнее было бы заниматься арбитражем трафика, используя найденную уязвимость =) Гугл — корпорация зла.

А наши компании могут вооще игнорировать.
Недавно нашёл багу в МТС. Сообщил о ней. Исправили и даже не ответили..

Раз не ответили — имеете полное моральное право рассказать общественности о процессе поиска и о самой уязвимости. Думаю многим интересно.

Уязвимость достачно проста)
Спасибо за совет. Статья уже в песочнице.

Лучше бы эксплуатировал уязвимость. Мог заработать гораздо больше…
Позвольте обратить внимание на некоторые детали которые могут дать повод задуматься о том насколько это серьезная уязвимость.

1. Эксплуатация ее возможна только при условии наличии на сайте жертвы уязвимости позволяющей либо создавать на домене жертвы свой файл sitemap или существования возможности создания ссылок которые без подтверждения производят редирект туда куда атакующему нужно.
2. Манипуляция с hreflang накладывает ограничение на трафик — в общем случае он будет только для определенной страны/языка

Люди, которые работают на площадках с серьезным трафиком постоянно этот трафик мониторят. Потому что это их деньги. И резкое снижение трафика сразу же заметно. То есть при первом же использовании уязвимости на ком либо серьезном это будет тут же обнаружено.

В результате чего все последствия(относительно рейтингов и трафика) будут в течении нескольких часов аннулированы. И потери будут исчисляться только деньгами которые могла потерять одна контора на время потери этого трафика.

Игого: возможно только одноразовое использование, с целью насолить какой либо серьезной площадке (на несколько часов забрать часть ее трафика) или двум (если вторая позволит создать у себя на домене sitemap и перевести трафик на нее, что вероятно приведет к некоторым трудностям при разбирательстве) при условии наличия у нее уязвимости.

Так что мне все это видится чрезвычайно интересным, но при этом я бы не рискнул настаивать на том, что есть сценарии при которых можно было бы получить с этого какую то большую выгоду. За исключением очень специфической ситуации с желанием испортить нервы какой то одной конкретной жертве. Ни о какой массовой эксплуатации и слива трафика речи не идет в принципе. Все слишком заметно.
UFO just landed and posted this here
Sign up to leave a comment.

Articles