Материал просмотрен 150 раз(а)

Инфа с секулаба. 

В системе Merchant Webmoney Transfer была обнаружена XSS уязвимость, позволяющая выполнять произвольный JavaScript на странице. Уязвимость обнаружил исследователь Дмитрий Аксенов.

Фрагмент эксплуатирующий узязвимость

Фрагмент эксплуатирующий узязвимость

Обычно, у солидных проектов существует целое направление по улучшению продукта путем сообщения о найденных уязвимостях. Крупные компании обещают весьма солидное вознаграждение за такую информацию. Здесь же произошло нечто иное. Подразумевается, что за информацию об этой уязвимости должна быть выплачена награда, но техническая поддержка WebMoney сообщила, что об этой уязвимости им уже известно (ну так ещё бы, они ж её допустили).

Однако после обращения они поспешно закрыли эту уязвимость на своем сервисе, само-собой не выплатив вознаграждение специалисту.

Думается мне, что схалтурили они, а может даже решили проэксплуатировать эту уязвимость сами, так как просили предоставить рабочий эксплоит. Зачем он им был нужен?

Фрагмент переписки с техподдержкой

Фрагмент переписки с техподдержкой

Могу предложить два варианта:

  1. Ребята хотят его сами проэксплуатировать, а весь ущерб списать непосредственно на специалиста, обанружившего данный баг.
  2. Они посчитали (ввиду низкой компетентности или иных причин), что эта уязвимость не настолько опасна, чтобы за неё выплачивать вознаграждение и вообще как-то реагировать. Но ведь все-таки исправили же поспешно? 🙂

Как пояснил сам Дмитрий, реализация уязвимости представляет собой два скрипта. Первый собирает Cookie жертвы, второй отправляет содержимое полей ввода на сайт злоумышленника. Простым обращением на URL с передачей параметров.