Инфа с секулаба.
В системе Merchant Webmoney Transfer была обнаружена XSS уязвимость, позволяющая выполнять произвольный JavaScript на странице. Уязвимость обнаружил исследователь Дмитрий Аксенов.
Обычно, у солидных проектов существует целое направление по улучшению продукта путем сообщения о найденных уязвимостях. Крупные компании обещают весьма солидное вознаграждение за такую информацию. Здесь же произошло нечто иное. Подразумевается, что за информацию об этой уязвимости должна быть выплачена награда, но техническая поддержка WebMoney сообщила, что об этой уязвимости им уже известно (ну так ещё бы, они ж её допустили).
Однако после обращения они поспешно закрыли эту уязвимость на своем сервисе, само-собой не выплатив вознаграждение специалисту.
Думается мне, что схалтурили они, а может даже решили проэксплуатировать эту уязвимость сами, так как просили предоставить рабочий эксплоит. Зачем он им был нужен?
Могу предложить два варианта:
- Ребята хотят его сами проэксплуатировать, а весь ущерб списать непосредственно на специалиста, обанружившего данный баг.
- Они посчитали (ввиду низкой компетентности или иных причин), что эта уязвимость не настолько опасна, чтобы за неё выплачивать вознаграждение и вообще как-то реагировать. Но ведь все-таки исправили же поспешно?
Как пояснил сам Дмитрий, реализация уязвимости представляет собой два скрипта. Первый собирает Cookie жертвы, второй отправляет содержимое полей ввода на сайт злоумышленника. Простым обращением на URL с передачей параметров.
Не любил я их никогда (вебмани) )))
@PrihoD, Да я как-то тоже не особо любовь питаю. Но после такого поступка ещё меньше. Думаю, исследователь, обнаруживший багу в следующий раз не будет спешить о ней сообщать ^_^
Интересно, как эту ситуацию комментируют сотрудники ВМ? Или сам исследователь. Есть информация?