На сайте конференции Black Hat обнаружена уязвимость

Майкл Коутс, эксперт по сетевым приложениям из компании Mozilla, обнаружил несколько проблем на портале Black Hat Uplink, обслуживающем проходящую сейчас в Лас-Вегасе хакерскую конференцию Black Hat. Найденные баги позволяли просматривать прямые видеотрансляции с конференции без уплаты взноса за право доступа.

Дело в том, что на этот раз организаторы конференции решили монетизировать ее популярность с помощью специального сервиса, на котором сторонние наблюдатели могут смотреть прямые трансляции докладов и знакомиться с документальными материалами. Эта услуга дает право на полное ознакомление со всем контентом мероприятия всего за… 395$.

Суть бага состоит в следующем. Регистрируясь на сайте для просмотра трансляций с конференции, пользователь попадает на специальный модуль оплаты (мерчант), после завершения оплаты пользователь переходит на заключительную страницу, при этом данные на эту страницу передаются по refer, а его можно легко подделать.

В своем блоге Коутс пишет, что его “нестандартный подход” к регистрации обнажил баги в алгоритме системы, а заодно позволил предъявить общественности уязвимость на сайте конференции, на которой собираются знатоки уязвимостей. Впрочем, эксперт отмечает, что система платного доступа к видеоконтенту была разработана сторонней организацией, а не устроителями Black Hat. Через несколько часов после того, как он указал разработчикам на проблемы, все они были устранены.

По материалам: Хакер.ру