The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака на HackerOne, позволившая получить доступ к закрытым о..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от opennews (ok), 04-Дек-19, 22:38 
Платформа HackerOne, дающая возможность исследователям безопасности информировать разработчиков о выявлении уязвимостей и получать за это вознаграждения, получила отчёт о собственном взломе. Одному из исследователей удалось получить доступ к учётой записи аналитика по безопасности компании HackerOne, имеющего возможность просмотра закрытых материалов, в том числе со сведениями об ещё не устранённых уязвимостях...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51977

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +1 +/
Сообщение от имя (ok), 04-Дек-19, 22:38 
> в дальнейшем планируют заменить на привязку [сессионных ключей] к устройствам пользователя

Это как ещё?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +4 +/
Сообщение от Аноним (2), 04-Дек-19, 23:02 
Так же как гугл фингерпринтит и узнаёт тебя даже в приватной вкладке. Для примера: в приватной вкладке можешь зайти в транслейт; выставить необычное направление перевода; перевести предложение или фразу; закрыть переводчик; закрыть приватную вкладку; закрыть браузер; подождать N минут; открыть вкладку и открыть транслейт; с удивлением обнаружить выставленное ранее направление перевода. У меня это сработало даже на разных профилях в FF на одной и той же виртуалке через день.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +3 +/
Сообщение от Аноним (4), 04-Дек-19, 23:12 
У меня без приватной вкладки всё забывает, жутко не удобно. Ты уверен, что это не evercookie какой-нибудь?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +1 +/
Сообщение от Аноним (2), 04-Дек-19, 23:32 
Уверен. FF с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. За этим IP ещё с десяток таких же машинок (реальных и виртуалок). Пробовал даже с чистым профилем. Запоминает, скотина, хоть ты тресни.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

9. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +6 +/
Сообщение от хотел спросить (?), 05-Дек-19, 00:13 
херь какая-то...

у меня белый статический айпишник и даже с ним нефига не запоминает...

отключи 3rd party cookies и почисти все что у тебя сейчас есть

момент интересный - требует исследования

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +11 +/
Сообщение от Тфьу (?), 05-Дек-19, 06:10 
>FF с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке.

есть 50 млн пользователей стокового FF на стоковой винде и есть несколько тысяч пользователей (если привязать это к IP, сразу станут единицы) с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. Интересно, как же он тебя определил...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

29. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +2 +/
Сообщение от barmaglot (??), 05-Дек-19, 09:04 
> единицы) с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. Интересно, как же он тебя определил...

Ага, совсем никакого намёка на ответ :D

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

7. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Аноним (7), 04-Дек-19, 23:35 
>У меня это сработало даже на разных профилях в FF на одной и той же виртуалке через день.

Это очень странно. Не имеет смысла использовать фингерпринтинг для пугания пользователя такими трюками.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

11. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +2 +/
Сообщение от кельвин (?), 05-Дек-19, 00:30 
а это и не совсем фингерпринтинг.. это весьма дешёвый трюк определяющий всех анонимов с определённой подсети как одного пользователя.. когда все анонимы подсети оказываются одним человеком складывается впечатление что мы его как-то запомнили..
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

27. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от проходил мимо (?), 05-Дек-19, 07:27 
нулевой имей
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +2 +/
Сообщение от тоже Аноним (ok), 05-Дек-19, 00:53 
Открыл приватную вкладку, транслейт. Языки: авто - русский.
Переключил русский - хинди, перевел фразу, закрыл приватную вкладку.
Новая вкладка, транслейт. Языки: авто - русский.
ФФ, АдБлок, Убунту.
Ищите проблему на вашей стороне.

Вот на айпаде мне Гугль в тамошнем КакБыХроме запоминал каждый запрос к Гуглю и потом выводил его в подсказку, это да. Даже если запрос был сделан в приватном окошке.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Растобой (?), 05-Дек-19, 03:49 
Не сработало. Даже без закрытия браузера всё равно не запомнил выбранные языки (испанский - английский).
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от xm (ok), 04-Дек-19, 23:06 
Метаданные из свойств браузера с привязкой к IP.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от хотел спросить (?), 05-Дек-19, 00:17 
элементарно хранить дополнительный ключик в localStorage
берем какую-нибудь производную от него и от пришедшего в хидерах nonce
и шлем в хидерах обратно
варианта дофига.. главное не лажануть с реализацией

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +6 +/
Сообщение от Аноним (5), 04-Дек-19, 23:19 
Пожарный поезд сгорел.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +3 +/
Сообщение от тоже Аноним (ok), 05-Дек-19, 00:07 
В ситуации нет ничего необычного. Nobody's perfect. No silver bullet.
Эксперты просто могут профессиональнее обнаружить и исправить косяки.
В том числе и свои собственные.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  –3 +/
Сообщение от Аноним (13), 05-Дек-19, 00:58 
хорошо что он эту сессию какому то ламеру отправил а не куда то где бы оно реально пригодилось)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +3 +/
Сообщение от Аноним (18), 05-Дек-19, 03:09 
> какому то ламеру

Подгорает, что получил двадцатку тысяч не ты, а кто-то дургой?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  –3 +/
Сообщение от Аноним (13), 05-Дек-19, 05:48 
ты не понял о чем я просто наверное, я про ситуацию говарю, мне вобще фиолетово на эти двацатки считай мало иннтересно
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

37. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от CrazyAlex (?), 05-Дек-19, 14:11 
Наоборот, так не интересно. Хотя о других ситуациях мы бы вряд ли узнали.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +2 +/
Сообщение от n1rdeks (ok), 05-Дек-19, 01:02 
так откупились за 20000. Дёшево. И, конечно, никак не проверить, что раньше не пересылалось подобное. "Утверждают", ну-ну.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Андрей (??), 05-Дек-19, 17:43 
Менеджеры в банках миллионы бонусом получают. А тут столько на кону стояло, а бонус - копейки.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +1 +/
Сообщение от jOKer (ok), 05-Дек-19, 01:12 
У кидди чуть не случился большой праздник. Почти фестиваль)

Будь этот "исследователь" слегка менее принципиальным и порядочным, и кому-то бы настал большой кирдык. Внезапно. Например, Пентагону, который значится среди /постоянных?/ клиентов)) Ну, и ХакерВан уж точно получил бы апперкот по репутации.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +2 +/
Сообщение от Аноним (26), 05-Дек-19, 07:21 
>  слегка менее принципиальным и порядочным

... А не в этом ли суть, быть порядочным и принципиальным? Я рад, что так получилось, это правильное поведение.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

30. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  –2 +/
Сообщение от Аноним (30), 05-Дек-19, 10:25 
Трусость, из которой человек придумал вежливость, нужна только для того, чтобы люди друг друга не поубивали. Если нет угрозы жизни - незачем быть порядочным и принципиальным
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +1 +/
Сообщение от Аноним (40), 06-Дек-19, 08:15 
>  нет угрозы жизни - незачем быть порядочным и принципиальным

психология гопника в одном предложении.

На самом деле есть достаточно причин, чтобы быть порядочным и принципиальным, первая из которых - не чувствовать постоянную угрозу жизни среди себе подобных.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

42. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Урри (?), 06-Дек-19, 12:10 
> психология гопника в одном предложении.

Антрополог Дробышевский утверждает, что наш общий предок был более похож на человека, чем на обезьяну. В частности, почти не имел выделяющихся клыков и вел себя не агрессивно.

Вывод: неагрессивность - признак человека. "Гопническое" поведение - признак обезьяны.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

49. "Антропология и этология"  +1 +/
Сообщение от Фёдор Сологуб (?), 07-Дек-19, 21:21 
> был более похож на человека, чем на обезьяну.

Внешне да.
> В частности, почти не имел выделяющихся клыков и вел себя не агрессивно.

Это не помешало нашим предкам съесть всех мамонтов и усторить геноцид неандертальцам.
> Вывод: неагрессивность - признак человека. "Гопническое" поведение - признак обезьяны.

Вывод неверный. На самом деле агрессивность/неагрессивность (тварь ли я дрожащая или...) зависит не от породы обезьяны, а от количества тестостерона, полученного в пренатальном/пуберантном периоде.

В фидошные времена была популярна теория рангов Протопопова. Вкратце, поведение [генетически детерминированное] зависит от двух параметров: ранг и примативность. Ранг(тестостерон) определяет как высоко особь может/хочет забраться по социальному древу, а примАтивность (близость к предкам-приматам) - способность критически анализировать своё поведение и не поддаваться на инстиктивные позывы залезть повыше, туда, где светлее и удобнее кидаться экскрементами в лузеров на нижних ветках.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

46. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от jOKer (ok), 06-Дек-19, 23:49 
>>  нет угрозы жизни - незачем быть порядочным и принципиальным
> психология гопника в одном предложении.
> На самом деле есть достаточно причин, чтобы быть порядочным и принципиальным, первая
> из которых - не чувствовать постоянную угрозу жизни среди себе подобных.

Психология интеллигента в одном предложении. А между тем, только винтовка рождает власть, и только те, кто не бояться грабить банки, становятся царями всея Руси.


Малшик, ты можешь себе воображать все что угодно, но если ты не знаешь что делать, - ты стоишь на месте. А некоторые из тех, кого ты обозвал "гопники", они, на твоем месте, делают шаг вперед.... и становятся царями. И делают Революции. И кроят Историю. А ты в это время будешь сидеть и скулить: "Варвара, волчица....", и думать "А может все так и надо? И великое предназначение интеллигенции...." В этом между вами разница.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

47. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Аноним (40), 07-Дек-19, 12:16 
> Малшик, ты можешь себе воображать все что угодно

ну ну ну, зачем так в позу вставать. Я уже понял что ты - "пролетарий".
Я не интеллигент, а скорее буржуин со своей компанией за бугром.

> и становятся царями. И делают Революции. И кроят Историю

Кстати, об царях и истории: https://www.bitchute.com/video/9NDTj4oHPHKe/

Для того, чтобы "кроить историю" не нужно обладать высокими моральными качествами,
а вот для того, чтобы построить цивилизацию - пожалуй.

Впрочем, оставайтесь пожалуйста при своём мнении, оно очень важно для нас.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от li4inka (?), 10-Дек-19, 17:07 
Что это за высер про царей и историю? Сиди за бугром и не вякай, спинку потри своим новым царям. Буржуин он хах, бабуин ты эффенди. Чем же занимается твоя бабунская компани? Ролики про историю делает, так держать, оставайся при своем мнении, нам не него пофиг.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

44. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Аноним (44), 06-Дек-19, 22:38 
Гопнек не гопнек,но не раз замечал людей которым в кайф трахать мозг другим культурным людям. А именно злоупотреблять доверием, нависать, итд-итп, вот все такие на будте любезны, спасибо-пожалуйста, а по факту эти хитрожопые финтифлюшки сами гопники и есть, насилие это не только: Э, слы ты!сюда быра!ща в глаз! Таким только обозначишь что способен послать, сразу масочки свои кислые скидывают и под корягу недовольно квакать, типа фи как никультурна, а тут же просто не прокатило..
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

48. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +1 +/
Сообщение от Аноним (40), 07-Дек-19, 12:30 
Гопники - лишь яркий пример слабого умственного развития, есть и другие примеры, когда люди не понимают, что заботиться о тех, кто рядом выгоднее, чем вытирать о них ноги и однажды проснуться с ножом в спине.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

45. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от jOKer (ok), 06-Дек-19, 23:44 
Есть конечно нюансы... но в целом.... в целом, не поспоришь!
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

16. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +1 +/
Сообщение от Аноним (16), 05-Дек-19, 01:37 
>атака
>сами потеряли куку
>атака

люди, да что с вами не так?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +1 +/
Сообщение от Аноним (26), 05-Дек-19, 07:18 
> сами допустили переполнение буфера
> сами не поставили автоматчиков у дверей
> сами родились

всё так

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  –2 +/
Сообщение от qsdg (ok), 05-Дек-19, 02:01 
Лол, HackerOne не может даже XSRF защиту реализовать. Во всех нормальных веб-фреймворках есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +2 +/
Сообщение от Аноним (30), 05-Дек-19, 10:26 
> нормальных веб-фреймворках

на стенку себе повешу

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Аноним (20), 05-Дек-19, 05:08 
На его месте должен быть я!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  –1 +/
Сообщение от Тфьу (?), 05-Дек-19, 06:12 
Лол. Сапожник в сапогах, но сапоги без подошвы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Аноним (26), 05-Дек-19, 07:17 
"Хакер и солонка", бесконечная франшиза
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Аноним (28), 05-Дек-19, 07:54 
очередная победа вэб-технологий
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от InuYasha (?), 05-Дек-19, 11:33 
20K и звание "исследователя" - чтобы тот не побежал раздавать увиденные "5%" на хакерских форумах? :)

Такой себе "взлом". :-/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Аноним (36), 05-Дек-19, 13:20 
> реализована привязка сессионного ключа к IP-адресу

Ну блин...

> В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя, так как привязка к IP неудобна для пользователей с динамически выдаваемыми адресами.

А, ну ок. А то с мобилки и вайфаев всяких подофигеешь перелогиниваться.

Кроче IP - мера временная, по горячим следам. Тада ок.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +3 +/
Сообщение от Аноним (38), 05-Дек-19, 16:03 
> реализована привязка сессионного ключа к IP-адресу и фильтрация сессионных ключей и токенов аутентификации в комментариях. В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя,

Искусственно созданная проблема, для того чтобы снять телеметрию с пользователей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Аноним (41), 06-Дек-19, 08:20 
Не понял что он там консольной утилитой делал на своем сайте? Или там виртуальная мышина для тестов уяхвимостей через http отчеты выплевывает, которые он кописпастил?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Атака на HackerOne, позволившая получить доступ к закрытым о..."  +/
Сообщение от Арчевод (?), 06-Дек-19, 15:06 
Я вот тоже не очень понял, что это за "аналитик", который тестирует какие-то методики взлома в основной браузерной сессии.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру