PornHub herkese açık hata ödül programını başlattığında, zayıf noktalardan kaynaklanan pek çok şeyin halledileceğinden ve zaten rapor edileceğinden oldukça emindim. Etrafı araştırmaya ilk başladığımda, ilk güvenlik açığımı 15 dakikadan kısa bir sürede buldum. İkinci güvenlik açığı birkaç dakika sonra bulundu. Böcek avlama kariyerim boyunca hiçbir zaman böcekleri bu kadar çabuk bulmamıştım, bu yüzden oldukça heyecan vericiydi.
Karşılığında, 250 dolarlık iki ödeme ve burada Reddit’te paylaştığım gerçekten harika bir T-Shirt + çıkartması aldım:
Bunu Reddit’te paylaştığımda bu kadar popüler olacağını ve bu kadar çok soruyu gündeme getireceğini bilmiyordum. Çoğu kişi “Hile neydi?” diye sordu. ardından “PornHub’ı neden hackleyesiniz ki?” ve şu ana kadar bunun hakkında konuşamadım. (Bu güvenlik açıkları artık giderilmiştir.)
PornHub Premium web sitesine göz attıktan sonraki 20 dakika içinde iki yansıyan siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı buldum ve bildirdim. Siteler arası komut dosyası çalıştırma, eğer bunun ne olduğunu bilmiyorsanız, bir saldırganın bir web sitesinde tehlikeli komut dosyaları çalıştırmasına olanak tanıyan bir tür güvenlik açığıdır. OWASP burada oldukça güzel bir şekilde özetliyor:
Bir saldırgan, şüphelenmeyen bir kullanıcıya kötü amaçlı bir komut dosyası göndermek için XSS’yi kullanabilir. Son kullanıcının tarayıcısının komut dosyasına güvenilmemesi gerektiğini bilmesinin hiçbir yolu yoktur ve komut dosyasını çalıştırır. Komut dosyasının güvenilir bir kaynaktan geldiğini düşündüğü için kötü amaçlı komut dosyası, tarayıcı tarafından tutulan ve o sitede kullanılan tüm çerezlere, oturum belirteçlerine veya diğer hassas bilgilere erişebilir. Bu komut dosyaları HTML sayfasının içeriğini bile yeniden yazabilir.
İlki, sitenin “kodu kullan” bölümü kullanılarak bulundu; kullanma kodu için metin girişine girilen kodun gerçek bir yük olup olmadığını kontrol etmedi, bu nedenle, betiği sayfaya yansıtmak için aşağıdaki yükü kullanabildim:
PAYLOAD+STACK++%3E%27" /Autofocus /O nfocus=confirm`1`//&error=1
Yükün ilk kısmı “YÜK YÜKÜ”, yükün geri kalanının gönderilmesini sağlar. Eğer girersem:
++%3E%27" /Autofocus /O nfocus=confirm`1`//&error=1
Önündeki kelimeler olmasaydı uygulama onu reddederdi ve sayfada hiçbir şey görünmezdi. Başlamak için kötü amaçlı olmayan bir şeyin girilmesi, doğrulayıcıyı kandırır ve karşılığında yükün yürütülmesine izin verir.
İkinci güvenlik açığı da bir XSS’ydi. Bu biraz daha basitti ve yeni kullanıcılara yalnızca bir kez görünen bir URL parametresine bir yük girilerek bulundu… bu yüzden şu ana kadar bulunamadığını düşünüyorum – çoğu hata avcısı, etrafa göz atmaya ve bir şeyleri bozmaya çalışmadan önce bir web sitesi hakkında fikir sahibi olmayı sever, ancak genellikle farklı bir yaklaşım benimsiyorum ve web sitesinin, siteyi daha önce ilk kez ziyaret ettiğimi düşünmesi için gizli pencereler kullanıyorum. Güvenlik açığının ortaya çıktığı yer burasıdır.
Erişim için ödeme yapmadığınız sürece PornHub Premium sitesinin çoğunlukla yasak olduğunu fark ettim. Daha ödeme bile yapamadan, kullanıcıya pornografi izleyeceğini ve bir düğmeye tıklayarak girip çıkacağını gösteren bir “açılır” pencere var. Ayrıca şunu fark ettim ki, “enter”ı seçtiğinizde, URL’nin değişen ve parametre ekleyen bir kısmı vardı. Bu savunmasız parametre &compliancePop=no_gateway – burası girebildiğim yer:
&compliancePop=no_gateway%22-confirm`1`-%22
Ve ekranda siteler arası komut dosyası çalıştırmanın kanıtını gösteren gerçekten güzel bir “1” çıktı. Bu güvenlik açıklarının her ikisini de PornHub’a bildirdim ve 24 saat içinde öncelikleri belirlendi.
Böylesine adil, hızlı yanıt veren bir program yürüttükleri ve kullanıcılarını güvende tuttukları için PornHub’daki insanlara teşekkür etmek istiyorum. Ayrıca muhteşem Tişört için teşekkürler! Reddit’teki insanlara da konuyla bu kadar ilgilendikleri ve ne yaptığımı bilmek isteyen insanlara akşam 200’den fazla mesaj göndermek zorunda kaldığım için teşekkür ederim… umarım bu, size bundan bahsedeceğime dair sözümü tutar ve bu kadar uzun sürdüğü için üzgünüm.
Yakında bundan daha önemli ve daha yoğun başka hatalarım ve güvenlik açıklarım var, o yüzden daha sonra tekrar kontrol edin, bunları sizinle paylaşacağım. Ayrıca şunları yapabilirsiniz: beni Twitter’da takip et Eğer isterseniz hatalarım ve yaptıklarım hakkında güncel bilgilere sahip olmak için.