Ny sehatra HackerOne, izay ahafahan'ny mpikaroka momba ny fiarovana mampahafantatra ny mpamorona momba ny famantarana ny fahalemena sy ny fahazoana valisoa amin'izany, dia nahazo. momba ny hacking anao manokana. Ny iray amin'ireo mpikaroka dia nahavita niditra tao amin'ny kaontin'ny mpandinika ny fiarovana ao amin'ny HackerOne, izay manana fahafahana mijery ireo fitaovana voasokajy, anisan'izany ny fampahalalana momba ny vulnerability izay tsy mbola voalamina. Hatramin'ny nanombohan'ny sehatra, HackerOne dia nandoa vola mitentina 23 tapitrisa dolara ho an'ny mpikaroka mba hamantarana ny fahalemen'ny vokatra avy amin'ny mpanjifa mihoatra ny 100, anisan'izany ny Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon, ary ny US Navy.
Marihina fa noho ny fahadisoanβny olona no nahatonga ny fakana ny kaonty. Ny iray amin'ireo mpikaroka dia nandefa fangatahana famerenana momba ny mety ho vulnerable ao amin'ny HackerOne. Nandritra ny famakafakana ny fampiharana, nanandrana namerina ny fomba fijirika natolotra ny mpandinika HackerOne iray, saingy tsy azo naverina naverina ilay olana, ary nisy valiny nalefa tany amin'ny mpanoratra ny fangatahana nangataka antsipiriany fanampiny. Nandritra izany fotoana izany, ny mpandinika dia tsy nahatsikaritra fa, miaraka amin'ny vokatry ny fisavana tsy nahomby, dia nandefa tsy nahy ny votoatin'ny Cookie session-ny. Indrindra indrindra, nandritra ny fifanakalozan-kevitra, nanome ohatra momba ny fangatahana HTTP nataon'ny fitaovana curl ny mpandinika, anisan'izany ny lohatenin'ny HTTP, izay nanadinoany ny nanadio ny votoatin'ny Cookie session.
Ny mpikaroka dia nahatsikaritra izany fanaraha-maso izany ary afaka niditra tao amin'ny kaonty manokana tao amin'ny hackerone.com tamin'ny fampidirana fotsiny ny sandan'ny Cookie voamarika nefa tsy mila mandalo ny fanamarinana marobe ampiasaina amin'ny serivisy. Ny fanafihana dia azo natao satria ny hackerone.com dia tsy namatotra ny fivoriana tamin'ny IP na navigateur an'ny mpampiasa. Nofafana adiny roa taorian'ny namoahana ny tatitra leak ilay ID session misy olana. Tapa-kevitra ny hanome vola 20 arivo dolara ho an'ny mpikaroka momba ny olana.
HackerOne dia nanomboka ny fanaraha-maso mba hamakafaka ny mety hisian'ny fiparitahan'ny Cookie mitovy amin'izany taloha sy hanombanana ny mety hisian'ny fampahalalana momba ny fananana momba ny olan'ny mpanjifa serivisy. Ny fanaraha-maso dia tsy nanambara porofon'ny fivoahana taloha ary nanapa-kevitra fa ny mpikaroka izay naneho ny olana dia afaka mahazo fampahalalana momba ny 5% amin'ny programa rehetra naseho tao amin'ny serivisy izay azon'ny mpandinika izay nampiasa ny fanalahidin'ny fivoriana.
Mba hiarovana amin'ny fanafihana mitovitovy amin'izany amin'ny ho avy, dia nampiharina ny famatorana ny fanalahidin'ny session amin'ny adiresy IP sy ny fanivanana ny fanalahidin'ny session sy ny mari-pamantarana fanamarinana amin'ny fanehoan-kevitra. Amin'ny ho avy dia mikasa ny hanolo ny fatorana amin'ny IP amin'ny fatorana amin'ny fitaovana ampiasain'ny mpampiasa izy ireo, satria ny famatorana amin'ny IP dia tsy mety amin'ny mpampiasa manana adiresy dynamique. Nanapa-kevitra ihany koa ny hanitatra ny rafitra lozisialy miaraka amin'ny fampahalalana momba ny fidiran'ny mpampiasa amin'ny angon-drakitra ary hampihatra modely amin'ny fidirana granular ho an'ny mpandinika ny data mpanjifa.
Source: opennet.ru