1stsafe.ru → Информация → Новинки и тенденции в области безопасности → Российский хакер получил $4 тысячи за обнаружение уязвимостей в Github

Российский хакер получил $4 тысячи за обнаружение уязвимостей в Github

Сразу пять уязвимостей было обнаружено и устранено на сайте сервиса для хостинга IT-проектов GitHub. совместное использование позволяло злоумышленнику получить данные к чужой учетной записи,  хотя по отдельности ни одна из брешей не несла большой угрозы.

Российский хакер Егор Хомяков, который получил вознаграждение в размере $4000 за обнаружение «комплекта брешей». Он стал безупречным лидером списка ИБ-экспертов, которые сообщили о нескольких уязвимостях в GitHub.

Из письма сотрудника отдела безопасности Github Бена Тэйвза (Ben Toews) следует,  «Мы довольно сильно впечатлены тем, как вам удалось объединить серию незначительных уязвимостей в эффективный эксплоит, способный получать токены Gist OAuth. Конечно же, мы высоко ценим вашу работу и талант»,

Одна из обнаруженных уязвимостей существовала из-за некорректной реализации поддержки протокола OAuth с сохранением токена в сессии CookieStore. Другая брешь позволяла автоматически подтвердить произвольный код OAuth для Gist. Следующая из уязвимостей позволяла осуществить внедрение кроссдоменного изображения в Gist.

В список исправленных брешей попала также уязвимость, позволяющая обойти авторизацию redirect_uri при помощи /../. Пятая брешь становилась причиной отсутствия проверки redirect_uri для get-token


← назад | ↑ наверх


 
Январь 2018
ПнВтСрЧтПтСбВс
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
показать для Москва

Черный список

ordenmugestva

Что-то новенькое


© 2011-2012 - Портал по безопасности «Первый Безопасный». Ваш навигатор в мире безопасности - обратная связь - реклама на портале безопасности - регламент

Портал по безопасности Яндекс.Метрика
0.04365 сек

*Ваше имя:
*Ваш email:
Ваш телефон:
*Тема сообщения:
*Сообщение: