ИБ-эксперт получил $5 тысяч за нахождение серьезной XSS-уязвимости в HackerOne

image

Теги: HackerOne, XSS-уязвимость, уязвимость

Эксплуатируя брешь, хакеры могут перенаправлять пользователей на произвольные web-сайты.

Компания HackerOne наградила ИБ-эксперта Даниела ЛеШеминанта (Daniel LeCheminant) за  обнаружение  серьезной XSS-уязвимости в их системе.

HackerOne разрабатывает программы по безопасности для нескольких организаций, а также занимается вопросами усовершенствования собственной системы. Компания уже успела поблагодарить 54 хакеров за помощь в нахождении брешей, но именно Даниел стал первым, кто выявил настолько серьезную уязвимость.

ИБ-эксперт обнаружил, что может выполнить произвольный HTML код в сообщениях о брешах и на других страницах, которые используют язык разметки Markdown.

Злоумышленники не могли воспользоваться этой уязвимостью, чтобы выполнить произвольный сценарий, но, в ходе демонстрации, с помощью ошибки, Даниелу удалось изменить визуальные элементы на странице. Не исключено, что хакеры могут перенаправлять посетителей ресурса на произвольные web-сайты, используя метод мета-обновления.

Компания HackerOne уже устранила данную проблему.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus