時々、Bug BountyをサポートするIT企業の外部セキュリティ監査を実施しています。 この
ページによると
、 Rocketbankは、重大かつ公開されていない脆弱性が検出された場合に報いることを決定する可能性があります。
今年度、Rocketbankシステムに、すべてのクライアントの個人データの取得やXSS攻撃の実装を可能にする脆弱性を含む、かなりの数の脆弱性を発見しました。 この記事では、Rocketbankの前回の監査の結果について説明します。
2016年7月31日から2016年3月3日までの期間に、Rocketbankの次のセキュリティ監査を実施しました。その結果、次の脆弱性が発見されました。
Crossiteスクリプト
操作については、Rocketbankがレシートページを生成します。このページはメールで送信したり、ブラウザーでリンクを確認したりできます。 振替または補充操作の領収書が友人間(メソッド/ api / v5 / friend_transfers / Income)である場合、領収書ページのPOS端末の名前は次のように生成されます:「request%FRIEND FROM CONTACT IN SMARTPHONE%」、HTML文字友人の名前で逃げられません。
したがって、連絡先名をレシートページで実行したい攻撃者がHTMLコードに変更するだけで、レシートページにコードを埋め込むことができます。
実行の明確な例:
実装例:
リクエスト:
答えは:
領収書へのリンクを取得します。
リンクには、JavaScriptコードを含む領収書ページが含まれています。これにより、領収書ページは銀行カードデータの傍受を含む送金ページに変更されます。
攻撃者はこの脆弱性を使用して、たとえば、銀行カードのデータを傍受して領収ページを送金ページに変更する可能性があります。
招待された顧客の個人データを受信する脆弱性
アプリケーションが招待された顧客を要求すると、/ api / v5 / invitations / allメソッドは、パスポートの姓と名に加えて、電話番号とメールアドレスを明らかにします。
実装例:
攻撃者はこの脆弱性を使用して、招待したRocketbankクライアントの個人データを取得する可能性があります。
監査報告書を作成した直後に、私はそれをRocketbankに送りました。セキュリティサービスおよびテクニカルディレクターのOleg Kozyrevです。 脆弱性は1時間以内に解消されましたが、1週間以内に応答はありませんでした。
結果を公開する予定であるとRocketbankに通知した後のみ、Rocketbankから適切なフィードバックを受け取りましたが、OlegはBug Bountyをサポートしなくなったと述べました。
さらに、実際には「バグを見つける-支払います」というポリシーはないことを説明します。 これについてサイトに書かれているのは、3年前に書いた言葉です。 ディスカバリーとの契約後、このプラクティスを継続する必要はないと考えています。
ただし、脆弱性を検出した場合の報酬に関する情報は、Rocketbankのサイトにまだあります。
長い議論の後、ロケットバンクはそれでも報酬を提供しましたが、それを拒否せざるを得ませんでした。