Забавная по сути своей ситуация получилась при работе с Positive Technologies. Согласно требованиям партнерских программ, я проходил необходимые сертификации на их сайте edu.ptsecurity.com и по старой доброй привычке решил просмотреть тела и хедеры запросов, которые отправляются на сайт при переходе по различным ссылкам. Burp Suite всегда отлично помогал в решении такого рода задач, он не подвел и в этот раз =)

Все персональные данные, информация о компании, ее структуре и клиентах из скриншотов удалены.

По какой-то странной причине ссылка на профиль в основном меню и ссылка на профиль из меню сертификатов имели отличия по параметрам, что привлекло внимание и заставило изучить причины этих различий.

Оказалось, что при переходе через меню сертификатов пользователь получает доступ к своему профилю. Хм, ну вроде ничего в этом страшного и нет, хотя судя по стандартной ссылке на профиль, разработчики не хотели предоставлять такую информацию…

А если они не хотели этого делать, то скорее всего нет и контроля за дальнейшим перемещением! Так и есть, оказались доступны для модификации и ознакомления профили других пользователей обучающей платформы!

Ну что ж, осталось дело за малым: не лезть в дебри, модифицировать для доказательства учетную запись не содержащую персональных данных и можно смело сдавать в программу Bug Bounty. Сказано — сделано.

Хотя погодите… не будет ли еще небезопасных ссылок, т. е. такой же ошибки, которая была допущена во вкладке сертификатов. Ладно, надо бы действительно проверить, а то получается какой-то однобокий ресерч, ровно до первого бага.

Ииии..еще одна ссылка! Оказалось, что кнопка назначения заместителя может привести к полному списку пользователей, клиентов и сотрудников Positive Technologies. Так-с, ну здесь нет вариантов, нужно раскручивать ситуацию до конца, любопытство начинает сьедать.

После нескольких тестов на учетной записи моего коллеги (все с его разрешения) оказалось, что я могу не только править любую его персональную информацию, но и получить доступ ко всем сертификациям, добавить/изменить их срок, результат, даже узнать ответы на вопросы. Тут мое природное желание быть запасливым встало в полный рост — шутка ли, обеспечить на десяток лет себя и коллег спокойным существанием, без необходимости проходить какие-либо курсы, а там уже, кто знает, можно и за конкурентами присмотреть…^_^

Волевым усилием недостойные мысли были подавлены и ресерч был продолжен. После получения доступа (через такую же небезопасную ссылку) к структуре компании, людям назначаемым на должности и даже к возможности модификации KPI я довольно улыбнулся, записал видеоряд для представителей компании и с чувством выполненного долга отправил его на официальную программу в Standoff365.

Мое скромное увлечение было оценено следующим образом: рейтинг на платформе standoff365 и 50.000 руб.

К сожалению, по неясным причинам платформа в указанном виде перестала существовать 21 мая (через месяц после передачи моих записей). Уверен, что переработанный вариант уже не содержит таких увлекательных квестов. =)