ivet.bg Имали bug bounty програма? Да ама не... fuck off

Прегледа 5793 | Коментари

TLDR: unauthorized  file download , съдържащ sql queries, друга логика, и най-вече 2 login credentials в чист вид към external APIs   -   така и не ми отговориха.

Timeline до сега

1: Nov 29, 2018, 11:2 PM   -  писах и мейл  дали имат bug bounty програма ( вижте по-надолу защо ги попитах първо този въпрос )

2: Nov 30, 2018, 11:22 AM - върнаха ми имейл, че ИМАТ bug bounty програма и какво съм открил.

3: Nov 30, 2018, 3:32 PM - подробно описание къде се намира въпросния файл и как може да се изтегли

4: около 12-ти Декември изтриха файла ( не са ми писали, Аз проверих )

5:  Никакъв отговор досега

 

 

Винаги съм обичал да проверявам какви неща даден сайт индексира, особено когато не използва готова система, или са мигрирали към дадена готова система. Много често оставят някакви директории в сървъра, а понякога и файлове.  Добра практика е да се хвърля едно око и на robots.txt файла, откъдето може да ти стане ясно къде се намират restricted admin areas и пътища/ директории, които не трябва да се виждат публично.

 

След около 5 минути оглеждане на индексираните файлове на ivet.bg от google, попаднах на интересно попадение - индексиран .php-bak файл.

Предполагам, че това което е станало е следното: правили са някакви промени по дадения файл, и са преименували файла с разширение -bak за всеки случай ( един вид retard backup ). Това, обаче което не са направили е да изтрият след това файла. Благодарение на лошо конфигуриран сървър, файла няма проблеми да бъде изтеглен.

Файла съдържа около 800 реда програмна логика, като включваше в чист вид  username/  password към 2 external APIs,  sql queries, които leak-ват част от структурата на таблиците им в базата, както и инклудване на доста файлове, от които също добиваш представа какво се случва в /adm/ папката и как са структурирани файловете.

Първата ми мисъл беше веднага да и пиша за проблема, понеже в БГ бъг боунти програми няма. Това, което ме накара първо да ги попитам дали имат bug bounty програма, беше съдържанието на файла - повечето промениливи бяха на полски език, което ми се стори странно, също API-то към което се конектваха беше .pl . Проверих собственика на ivet.bg и се оказа, че е поляк., и по някакъв начин предполагах, че е свързан с голяма полска група, която има ОФИЦИАЛНА bug bounty програма в hackeronе.

Tова което ме издразни беше неадекватното отношение на съпорта им. И никакъв отговор, след като и изпратих информация за въпросния файл. Можеха просто да кажат, че нямат bug bounty програма, и пак щях да и изпратя въпросната информация,  последното нещо, което бих правил е да се опитвам да и свалям API-тата, дори не съм се и опитвал да се connect-вам с въпросните credentials.

Заключението е, че винаги трябва да се внимава какви файлове остават на сървъра, също и какво индексира google. При тези от ивет проблема щеше да е незначителен, ако просто сървъра беше конфигуриран правилно и не позволяваше дадения файл да се изтегля.

 

 

 

Коментари

За Връзка
Можете да ми пишете на remindbg @ gmail.com