Отключен JavaScript

У вас отключен JavaScript. Некоторые возможности системы не будут работать. Пожалуйста, включите JavaScript для получения доступа ко всем функциям.

1

Мда Уж) Storeland Мошенники?

Автор Testeraj, 12 марта 2015 15:09

Авторизуйтесь для ответа в теме

Сообщений в теме: 14

#1 Testeraj

Продвинутый пользователь

Пользователи
53 сообщений

Отправлено 12 Март 2015 - 15:09

Многие запомнили мою просьбу решить вопрос с оплатой за Xss) Сегодня наконец явился сотрудник, отвечающий за это, и.... просто снес дважды мою тему)) Тоесть что выходит, уязвимости уже стали не интересны и сообщение о вознаграждении липовое?? Хорошо, на этот случай у меня есть козырь в рукаве) Раз такие дела.

Просьба решить все таки мой вопрос! И да, думаю пользователи уже сами поняли сам смысл) А в случае не решения вопроса я покажу и то, как безопасна система Storeland, в кавычках.

Наверх

#2 sibulba

Активный участник

Пользователи
2 335 сообщений

Отправлено 12 Март 2015 - 16:17

Покажите мне) что там вы нарыли?

Наверх

#3 Testeraj

Продвинутый пользователь

Пользователи
53 сообщений

Отправлено 12 Март 2015 - 17:01

sibulba (12 Март 2015 - 16:17) писал:

Покажите мне) что там вы нарыли?

пока нет) Можно получить доступ к любому магазу на платформе.

Наверх

#4 support

Активный участник

Модераторы
3 686 сообщений

ГородМосква

Отправлено 12 Март 2015 - 17:19

Testeraj (12 Март 2015 - 17:01) писал:

пока нет) Можно получить доступ к любому магазу на платформе.

Здравствуйте, Дмитрий!

Прежде чем делать громкие заявления, давайте разберёмся с "уязвимостью", которую вы нашли. Вы писали о проблеме с flash XSS, которая загружалась из старого хранилища данных:
/web/upload/assets/other/23/22795/tagcloud.swf

На данный момент залить туда любой вредоносный контент не представляется возможным, мы Вам ответили на почте, просьба более детально продемонстрировать, что можно сделать с помощью указанного Вами метода, т.к. реальной проблемы в данном XSS я не наблюдаю: Cookie файлы авторизаций взять не получится, испортить тот или иной сайт таким образом скорее всего не получится, записать что-то или стереть тоже нет, поэтому пожалуйста, напишите более подробно на почту о методологии уязвимости и как её использовать для нанесения вреда другим.

Если ошибка безопасности действительно имеет место, мы Вам заплатим. Мы искренне благодарны людям, которые помогают нам сделать проект лучше и безопаснее.

Наверх

#5 Testeraj

Продвинутый пользователь

Пользователи
53 сообщений

Отправлено 12 Март 2015 - 17:44

support (12 Март 2015 - 17:19) писал:

Здравствуйте, Дмитрий!

Прежде чем делать громкие заявления, давайте разберёмся с "уязвимостью", которую вы нашли. Вы писали о проблеме с flash XSS, которая загружалась из старого хранилища данных:
/web/upload/assets/other/23/22795/tagcloud.swf

На данный момент залить туда любой вредоносный контент не представляется возможным, мы Вам ответили на почте, просьба более детально продемонстрировать, что можно сделать с помощью указанного Вами метода, т.к. реальной проблемы в данном XSS я не наблюдаю: Cookie файлы авторизаций взять не получится, испортить тот или иной сайт таким образом скорее всего не получится, записать что-то или стереть тоже нет, поэтому пожалуйста, напишите более подробно на почту о методологии уязвимости и как её использовать для нанесения вреда другим.

Если ошибка безопасности действительно имеет место, мы Вам заплатим. Мы искренне благодарны людям, которые помогают нам сделать проект лучше и безопаснее.

Я не Дмитрий, и я не писал о проблеме с флешем) Моя Хсс в картинках.