Российский хакер Хомяков получил $4 тысячи за обнаружение уязвимостей в Github

19.02.2014

Hackers.jpgНа сайте сервиса для хостинга IT-проектов GitHub было обнаружено и устранено сразу пять уязвимостей. Несмотря на то, что по отдельности ни одна из брешей не несла большой угрозы, их совместное использование позволяло злоумышленнику получить данные к чужой учетной записи.

Обнаружил «комплект брешей» российский хакер Егор Хомяков, который получил вознаграждение в размере $4000. Благодаря этому он стал безупречным лидером списка ИБ-экспертов, которые сообщили о нескольких уязвимостях в GitHub.

«Мы довольно сильно впечатлены тем, как вам удалось объединить серию незначительных уязвимостей в эффективный эксплоит, способный получать токены Gist OAuth. Конечно же, мы высоко ценим вашу работу и талант», - следует из письма сотрудника отдела безопасности Github Бена Тэйвза (Ben Toews).

Известно, что одна из обнаруженных уязвимостей существовала из-за некорректной реализации поддержки протокола OAuth с сохранением токена в сессии CookieStore. Еще одна брешь позволяла автоматически подтвердить произвольный код OAuth для Gist. Кроме того, по данным Хомякова, одна из уязвимостей позволяла осуществить внедрение кроссдоменного изображения в Gist.

В список исправленных брешей попала также уязвимость, позволяющая обойти авторизацию redirect_uri при помощи /../. Пятая брешь становилась причиной отсутствия проверки redirect_uri для get-token.

По материалам securitylab.ru



Источник:  http://itexpert.org.ua/

Возврат к списку






Хамам построить
Читайте как построить курятник своими руками. Схемы с размерами! Здесь
legkyi-par.ru
Установка замка на кпп
Онлайн-запись на установку. Установка охранного оборудования
dellson.ru