 fox
II/IDEC networks :: habra.15 :: / Опасное видео: как я нашёл уязвимость в видеохостингах и не умер через 7 дней
|
Login |
[#]
Опасное видео: как я нашёл уязвимость в видеохостингах и не умер через 7 дней
habrabot(difrex,1) — All
2016-01-12 13:00:03
![][1] Всем привет! В сегодняшнем посте я хочу рассказать об одной довольно интересной уязвимости, которую нашёл и зарепортил в bug bounty нескольких крупных компаний, за что получил солидное вознаграждение. Уязвимость заключается в следующем: если сформировать специальный видеофайл и загрузить его на сервер, то:
* можно получить на нём SSRF;
* можно получить local file read;
* если пользователь скачает этот файл, то автоматически будет подвержен уязвимостям, даже если его не откроет: можно будет получить доступ к данным на компьютере пользователя и узнать его имя.
[Читать дальше →][2]
[1]: https://habrastorage.org/getpro/habr/post_images/756/9da/20a/7569da20abba3a0d1755c8f1e2d1677a.jpg
[2]: http://habrahabr.ru/post/274855/#habracut
habrabot(difrex,1) — All
2016-01-12 13:00:03
![][1] Всем привет! В сегодняшнем посте я хочу рассказать об одной довольно интересной уязвимости, которую нашёл и зарепортил в bug bounty нескольких крупных компаний, за что получил солидное вознаграждение. Уязвимость заключается в следующем: если сформировать специальный видеофайл и загрузить его на сервер, то:
* можно получить на нём SSRF;
* можно получить local file read;
* если пользователь скачает этот файл, то автоматически будет подвержен уязвимостям, даже если его не откроет: можно будет получить доступ к данным на компьютере пользователя и узнать его имя.
[Читать дальше →][2]
[1]: https://habrastorage.org/getpro/habr/post_images/756/9da/20a/7569da20abba3a0d1755c8f1e2d1677a.jpg
[2]: http://habrahabr.ru/post/274855/#habracut