Airbnb y su Password Length Restriction que no tenía nada de Restrictive

Imagen 1. Airbnb logo.

Por fin me han dado full disclosure en este fallo y ahora puedo publicarlo.

Un fallo en la restricción de longitud de contraseña de Airbnb podía provocar que con un numero de peticiones concretas se pudiese tirar uno de sus servidores abajo, mejor dicho, que pudieses hacer un Denial of Service de toda la vida.

Como bien sabemos un DoS teniendo los medios para hacerlo puede llegar a resultar bastante sencillo y esto era lo que ocurría con Airbnb. Ellos tenían un sistema de restricción de longitud de contraseña, que tenia un máximo 128 caracteres, este sistema funcionaba correctamente en el proceso de creación de una cuenta y en el de cambio de contraseña, si te pasabas de los 128 caracteres el propio formulario te indicaba que no se podían insertar más.

Sigue leyendo “Airbnb y su Password Length Restriction que no tenía nada de Restrictive”

El Blind Directory Listing que no le importa a Starbucks

servlet
Imagen 1. Starbucks

Hace una semana y media he empezado en la plataforma Hackerone, que para quien no la conozca es una plataforma en la que diversos sitios webs lanzan un programa de ‘Bug Bounty’, encuentras un ‘bug’ en su sitio web, lo reportas, y te pagan, aunque esto último a veces no pasa.

Como primer sitio web elegí Starbucks, y estuve 4 días en los cuales detecte 3 fallos, uno de ellos fue este que vengo a comentar: un Blind Directory Listing basado en una mala gestión de errores de .NET, usando el método OPTIONS de HTTP.

Sigue leyendo “El Blind Directory Listing que no le importa a Starbucks”