BitDefender.com [LFI.OAuth.XSS]

Andrei Bădescu

Updated on:

TECH
2 minutes
bitdefender-logo

După evenimentul nefericit din 12 Oct 2013,  aceștia au fost anunțati de un tânăr român că ar avea o vulnerabilitate LFI[ref]LFI – sau Local File Inclusion este o vulnerabilitate web care permite atacatorului să includă fișiere din site-ul dumneavoastră și să le afișeze în browser. Practic atacatorul poate afișa conținutul oricărui fișier de pe server.[/ref]. După ce a fost reparată, acesta a fost contactat de o anumită persoană, probabil webmasterul, care i-a mulțumit și i-a propus o discuție care aparent nu a mai avut loc.

Continuând testele asupra companiei BitDefender a mai descoperit OAuth[ref]OAuth – sau Open Authentication este un protocol liber prin care se poate permite accesul la resurse aflate pe un alt site fara a dezvalui datele de conectare (nume utilizator si parola) către site-ul in care se doreste accesul la acele resurse partajate[/ref] bug care îi permitea  accesul la conturile utilizatorilor de pe My BitDefender. Aceștia au ales să securizeze vulnerabilitatea depistată de acesta și să mearga pe burtă nemaiavând chef să mai poarte discuția promisă cu persoana care le-a semnalat bug-urile.

Deranjat fiind de acest comportament, acesta a postat pe RST cele 2 buguri cât și un XSS care încă mai merge.

1.  LFI 

     Status: Fixed

     Link vulnerabil: Toate domeniile aparținând BitDefender.

     EXEMPLU: bitdefender.*** (.com, .net, .ro, etc.)

     YouTube proof.

2.  OAuth bug

      Status: Fixed

      Link vulnerabil: https://my.bitdefender.com

      YouTube proof.

3.  XSS[ref]XSS – sau Cross Site Scripting, este o vulnerabilitate web care permite atacatorului să injecteze scripturi client side în site-uri vizualizate de către alții.[/ref]

      Status: Still working

BitDefender XSS
BitDefender XSS

Mă gândesc totuși că ar fi fost frumos totuși să se țină de promisiune și să poarte discuția promisă cu tânărul. Până la urmă, le-a dat, nu le-a luat, cel puțin așa susține el.

Poate Alin Vlad, Global Social Media Coordinator @ BitDefender ar fi interesat. Alin a părăsit poziția în Ianuarie 2014.

Leave a Comment