Open Redirect на Яндексе, баг или нет?

Тот самый первый баг, он же и самый известный.

Здравствуйте, дорогие хабровчане. Хочу поделиться с вами маленьким кейсом по программе bug bounty Яндекса. Как это обычно бывает, нашёл уязвимость в сервисах компании, написал письмо, дождался ответа, в котором мне сказали спасибо и заявили, что этот баг вовсе и не баг.

Раз такое дело, решил поделиться с читателями. Под катом опишу суть уязвимости и как я к ней пришёл, а также небольшой опрос в конце, призванный ответить на вопрос заголовка: является это багом или нет.

Важное примечание: я спросил разрешения у службы информационной безопасности Яндекса на описание этой потенциальной уязвимости, текст письма размещён в конце статьи.

Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Мыслепреступление на Android: как скрыть Перехватчик трафика от Государственных приложений
• Хак сортировки новостей по цифровому коду (Плагин для DLE 13-19.1)
• Путаница в уязвимостях WSUS: ставим все на свои места
• Хостеры против VPN: что на самом деле скрывают поправки “Антифрод 2.0”
• Как я чуть не потерял свои скрипты из-за того, что РКН и Telegram не поделили IP-адреса
• Sber X-TI: разбираем бесплатную платформу кибербезопасности от Сбера
• От правил корреляции к когнитивному ассистенту: что меняется в архитектуре SOC с приходом ИИ
• Правда все: Убьет ли ИИ достоверность в онлайне?
• PUNKT E: PUNKT E консолидирует рынок, приобретая операторский бизнес Sitronics Electro
• Квантовая криптография: принципы, протоколы, сети