Российский хакер получил $4 тысячи за обнаружение уязвимостей в Github

image

Теги: уязвимость, GitHub, брешь, учетная запись

Эксплуатация пяти брешей позволяла злоумышленнику получить доступ к чужой учетной записи.

На сайте сервиса для хостинга IT-проектов GitHub было обнаружено и устранено сразу пять уязвимостей. Несмотря на то, что по отдельности ни одна из брешей не несла большой угрозы, их совместное использование позволяло злоумышленнику получить данные к чужой учетной записи.

Обнаружил «комплект брешей» российский хакер Егор Хомяков, который получил вознаграждение в размере $4000. Благодаря этому он стал безупречным лидером списка ИБ-экспертов, которые сообщили о нескольких уязвимостях в GitHub.

«Мы довольно сильно впечатлены тем, как вам удалось объединить серию незначительных уязвимостей в эффективный эксплоит, способный получать токены Gist OAuth. Конечно же, мы высоко ценим вашу работу и талант», - следует из письма сотрудника отдела безопасности Github Бена Тэйвза (Ben Toews).

Известно, что одна из обнаруженных уязвимостей существовала из-за некорректной реализации поддержки протокола OAuth с сохранением токена в сессии CookieStore. Еще одна брешь позволяла автоматически подтвердить произвольный код OAuth для Gist. Кроме того, по данным Хомякова, одна из уязвимостей позволяла осуществить внедрение кроссдоменного изображения в Gist.

В список исправленных брешей попала также уязвимость, позволяющая обойти авторизацию redirect_uri при помощи /../. Пятая брешь становилась причиной отсутствия проверки redirect_uri для get-token. 


или введите имя

CAPTCHA
Трололо
10-02-2014 21:20:53
Мозк! И радует что они еще есть!
0 |
ееееееееее
12-02-2014 16:23:12
Угадал исследователя по заголовку новости.
0 |