05.02.2015 | ИБ-эксперт получил $5 тысяч за нахождение серьезной XSS-уязвимости в HackerOne |
Компания HackerOne наградила ИБ-эксперта Даниела ЛеШеминанта (Daniel LeCheminant) за обнаружение серьезной XSS-уязвимости в их системе. HackerOne разрабатывает программы по безопасности для нескольких организаций, а также занимается вопросами усовершенствования собственной системы. Компания уже успела поблагодарить 54 хакеров за помощь в нахождении брешей, но именно Даниел стал первым, кто выявил настолько серьезную уязвимость. ИБ-эксперт обнаружил, что может выполнить произвольный HTML код в сообщениях о брешах и на других страницах, которые используют язык разметки Markdown. Злоумышленники не могли воспользоваться этой уязвимостью, чтобы выполнить произвольный сценарий, но, в ходе демонстрации, с помощью ошибки, Даниелу удалось изменить визуальные элементы на странице. Не исключено, что хакеры могут перенаправлять посетителей ресурса на произвольные web-сайты, используя метод мета-обновления. Компания HackerOne уже устранила данную проблему. |
Проверить безопасность сайта