Wednesday, 24 June 2015

Баунти: райское наслаждение или баг хантинг

Сейчас развелось очень много программ по поощрению поиска уязвимостей за которые выплачиваются компенсации. Но для получения профита не обязательно находить уязвимость и не обязательно профит будет деньгами. Например, как то я отписал в Beeline, что неплохо было бы позволять использовать платежные гейты банков при нулевом балансе, а то выходила странная фигня, вроде можешь пользоваться сайтом билайна, начинаешь оплату картой и встаешь на этапе выбора способа верификации оплаты. Через какое-то время предложенную фичу ввели, я получил возможность поплнять свой счет в любом месте с GPRS. А кто то  в билайне может получил премия за увеличение количества платежей %)) 


Это был пример нормального отношения. А бывают ребята, которым пишешь о уязвимостях на их ресурсах, а в ответ -- тишина. Возможно дело в том, что письмо приходит к низкоквалифицированным разгребателям почты и оно уходит с пометкой "какая-то фигня".  Наверное надо в таких случаях стоит писать не только в info@company.com, а еще и в cto@company.com, и может будет результат =) И высшим наслаждением в таких случаях было бы исправление уязвимости, а не 300 звездочек, новый уровень в Candy Rush или 100$ на счет.

Ищите, пишите и получайте удовольствие!

Tuesday, 23 June 2015

Google summer of code

Есть такая штука -- Google summer of code. Проект от гугл в рамках, которого студенты пишут функционал опен-сурс проектов под надзором менторов за деньги(5000$ за 3 месяца).

Проекты попадаются очень интересные. Правда я за свою студенческую жизнь ни разу не прошел со своим proposal туда, а  подавал я в следующие проекты SimpleCV и OpenCV , видимо зацепило меня в свое время компьютерное зрение. Опыт был для меня уникальный, писать какое-то предложение, на английском, обсуждать его с кем-то...интересно, но судя по результатам -- я не справился. Забавно, что одного из менторов, я потом нашел в ретвите кого-то из друзей. Фолловьте, попадаются интересные вещи у нее.

А кто то из читателей участвовал? Кто проходил? Как все прошло?

Friday, 19 June 2015

Еще пара прОмок от Aviasales

Как то я писал о том как не надо устраивать конкурсы. Думаю, что обоюдные выводы были сделаны. А вот некоторое время назад, ленту заполонили репосты вот такого вида

Ну вы их видели =) Ну и я по привычке решил глянуть, что там стоит за конкурсом.
Логика дизайнеров конкурса была такая:
1) Проходит тест
2) Получает результат
3) Предлагается расшарить результат
4) После выбора социальной сети открывается окошко для шаринга
5) По закрытию окошка, выпадает штука, где просят вбить почту, для участия в конкурсе

Пункт 4 и способы учета и накручивания ссылок мы проходили в прошлый раз. А пункт 5 выглядел новым и необычным. Исследуем!

Формируем curl запрос
Узнаем, что вариантов ответа не очень много: все ок, такая почта уже была, это не корректная почта. И при этом не требуется никаких дополнительных заголовков! Красота!
Участвующие в конкурсе почты где-то хранятся и для каждой отсылается письмо. А что если поменять регистр первого символа?!(gmail не учитывает регистр) Все ок, письмо пришло. А что если вставить точку разделитель?!(gmail и их игнорирует) Все ок!!! Кайфуем!

То есть для одной почты длиной N(для простоты возьмем вариант только с буквами), мы можем cгенерировать 2^(2*N - 1) вариантов почты. Что много! Потенциально можно забить их почтовый пул и потенциально выиграть их всех))

Потом пошли фиксы. Стали учитывать регистр, точки, сделали обязательными какие-то куки. Но все закрыть не смогли, оставлю это на сладкое =)

Так что ребята, проектируйте тщательнее или заказывайте у меня аудит ваших промо-акций %)

P.S. Ну а еще такая штука была в соседней промке с Санкт-Петербургом.