Wątek zablokowany 2022-01-17 12:20 przez Adam Boduch.
W oprogramowaniu strony 4programmers chyba jest luka bezpieczeństwa. Tylko nie posądzajcie mnie o "niezamówione pentesty". Tak sobie teraz czytam kod źródłowy który jest na githubie.
Zgodnie z zasadami responsible disclosure szczegóły zamierzam podać po załataniu.
Dodam że zgłosiłem już na [email protected]
u0dxusa2 napisał(a):.
Zgodnie z zasadami responsible disclosure szczegóły zamierzam podać po załataniu.
Po co w takim razie w ogóle ten post? Nie wystarczyłoby poinformować administrację, a case study przedstawić później?
@Saalin: Żeby ostrzec użytkowników.
I co teraz mamy robić? W gacie? Bo chyba jest luka, nieznanego typu, nieznanego severity? W jaki sposób jest to przydatna informacja?
@Saalin kolega lubi się chwalić, jestem pewien ze niedługo pojawi się o tym informacja na jego blogu. Dziwie sie tylko że ot tak zgłosił problem zamiast założyć 17 wątków z ofertą sprzedaży swojego znaleziska...
btw @u0dxusa2 jest https://4programmers.dev/ jeśli chcesz robić niezamówione testy w dobrej wierze
Saalin napisał(a):
I co teraz mamy robić? W gacie? Bo chyba jest luka, nieznanego typu, nieznanego severity? W jaki sposób jest to przydatna informacja?
Nie wiem. Może załatać? Ja nie jestem od tego żeby Wam mówić co macie robić. Ja zgłosiłem więc mam czyste sumienie i chyba już nic w tej sprawie nie muszę robić. Chyba że luka zostanie wykorzystana i się dowiem to wtedy oczywiście spełnię obywatelski obowiązek i zaalarmuję że zgłaszałem n dni/tygodni/miesięcy/lat wcześniej.
Ja siej juz przestraszylem. Na wszelki wypadek uruchomilem subskrypcje niebezpiecznika. Moze tam sie dowiem wiecej szczegolow.
@Adam Boduch jak poprawisz, to napiszesz co to za luka?
Żadnej informacji w tej sprawie na maila nie dostaliśmy.
@Adam Boduch: To macie nowy problem.
@u0dxusa2: Napisz konkretnie w czym problem zamiast robić podchody. Nikt nie będzie robił dochodzenia jak głupek za każdym razem kiedy ktoś rzuca tak ogólne informacje.
Jak już wcześniej napisałem lukę uważam za głoszoną i z mojej strony na tym koniec.
Zastanawiałem się czy nie opisać szczegółów w pierwszym mailu ale skoro maile ode mnie do Was nie docierają to widocznie gra nie jest warta świeczki.
Z racji zgłoszenia uważam że zrobiłem co mogłem i mam czyste sumienie. Nie zamierzam zabiegać o to żebyście łaskawie przyjęli zgłoszenie ode mnie.
Dodam że zgłosiłem już na [email protected]
Zgłoszenie z serii chyba jest luka to xD
Zgaduje, że żadnej luki nie ma, ot po prostu to kolejny potężny atak hackerski w wykonaniu kolegi harmoniusza (które to już konto na 4p, 11? 12?). Niestety wiedza kolegi z zakresu security kończy się na włączeniu TORa, więc nie ma co od niego zbyt wiele wymagać. Ale widać przynajmniej próbuje teraz celować trochę niżej, bo wcześniej hackował Orange i Onet.pl ale tam też nie poznali sie na jego kunszcie :(
u0dxusa2 napisał(a):
Jak już wcześniej napisałem lukę uważam za głoszoną i z mojej strony na tym koniec.
Zastanawiałem się czy nie opisać szczegółów w pierwszym mailu ale skoro maile ode mnie do Was nie docierają to widocznie gra nie jest warta świeczki.
Z racji zgłoszenia uważam że zrobiłem co mogłem i mam czyste sumienie. Nie zamierzam zabiegać o to żebyście łaskawie przyjęli zgłoszenie ode mnie.
Ale mail nie zawiera żadnej informacji odnośnie tej luki. O co chodzi?
u0dxusa2 napisał(a):
Saalin napisał(a):
I co teraz mamy robić? W gacie? Bo chyba jest luka, nieznanego typu, nieznanego severity? W jaki sposób jest to przydatna informacja?
Nie wiem. Może załatać? Ja nie jestem od tego żeby Wam mówić co macie robić.
Od kiedy to użytkownicy są od łatania luk w serwisie?
lukę uważam za głoszoną i z mojej strony na tym koniec.
To na zasadzie halo, Policja - ktoś w kraju popełnia przestępstwo, proszę interweniować. Powiem tylko że chodzi o kradzież :D
To co zrobiłeś jest tak absurdalne, że ciężko to jakoś skomentować :D :D
Tak od strony formalnej:
Art. 269c. [Kontratyp działania w celu wykrycia błędów w zabezpieczeniach systemów informatycznych]
Nie podlega karze za przestępstwo określone w art. 267 § 2 lub art. 269a, kto działa wyłącznie w celu zabezpieczenia systemu informatycznego, systemu teleinformatycznego lub sieci teleinformatycznej albo opracowania metody takiego zabezpieczenia i niezwłocznie powiadomił dysponenta tego systemu lub sieci o ujawnionych zagrożeniach, a jego działanie nie naruszyło interesu publicznego lub prywatnego i nie wyrządziło szkody.
Jest tam jasno napisane, że czynnikiem wyłączającym ewentualną odpowiedzialność jest powiadomienie o ujawnionych zagrożeniach. Tutaj tego fragmentu nie spełniasz, bo twierdzisz że masz jakąś wiedzę o dziurze/błędzie, ale nie dałeś żadnych konkretów - więc tak tylko ostrzegam, że jakbyś próbował cokolwiek z tą "luką" zrobić to podlegasz pod ten paragraf:
Art. 267. [Bezprawne uzyskanie informacji]
§ 1.
Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Ja na Twoim miejscu pochwaliłbym się już w CV przeprowadzonym audytem bezpieczeństwa. Tylko nie zapomnij dołączyć raportu - "chyba jest luka".
Nieubłaganlnie idziemy w stronę perełek.
Ja cieszę się, że coraz mniej obawiamy się tej luki, tej dziury, i to jest dobre podejście. Bo ona jest w odwrocie, już teraz nie trzeba się jej bać.
Trzeba wchodzić na forum, tłumnie. Są zachowane wszystkie wymogi bezpieczeństwa, bardzo adekwatne. Nic się nie stało teraz, nic się nie stanie przy kolejnych zgłoszeniach @u0dxusa2.
Wszyscy, zwłaszcza seniorzy, nie obawiajmy się, wchodźmy na forum, to jest ważne żeby móc kontynuować tę sprawiedliwą linię rozwoju.
@some_ONE: no nie wiem, a jesli to potężna luka? Transparenty w stopce i hashtag #sfw moga nie wystarczyć.
Proponuje zorganizować zbiórkę kocy i latarek - tak na wszelki wypadek.
@u0dxusa2: jeżeli faktycznie coś znalazłeś to napisz do nas, ale z opisem luki. Tymczasem wątek blokuje.