Facebook zahlt Rekordsumme für die Meldung eines XEE-Bugs
Kommentare

Es kann sich lohnen, bei Facebook auf Bug-Jagd zu gehen. Wie das Unternehmen mitteilte, wurde der brasilianische Entwickler Reginaldo Silva mit der größten Summe belohnt, die jemals im Zuge des Facebook

Es kann sich lohnen, bei Facebook auf Bug-Jagd zu gehen. Wie das Unternehmen mitteilte, wurde der brasilianische Entwickler Reginaldo Silva mit der größten Summe belohnt, die jemals im Zuge des Facebook Bug Bounty ausgezahlt wurde. Ganze 33.500 US-Dollar war Facebook die Meldung des XEE-Bugs wert.

Eine XML-External-Entity-Schwachstelle ist vor allem deswegen so kritisch, da man dabei Zugriff auf Dateien des Filesystems erhalten kann.

Ursprünglich wollte Silva den Bug erst melden, nachdem ihm gelungen wäre, eine Remote Code Execution auszuführen, da die Meldung solcher Bugs wesentlich besser dotiert sind als andere.

Er entschied sich dagegen, meldete den Bug und wollte im Anschluss versuchen, eine RCE zu starten.

Since this was a very critical bug, when I got back home from lunch, a quick fix was already in place. Less than two hours after the initial report was sent. Needless to say, I was very impressed and disappointed at the same time […]

Tja, dumm gelaufen.

Nach einigen Diskussionen zwischen den Entwicklern und Facebook entschied man sich in Menlo Park dann doch dazu, die Meldung als potenziellen RCE-Bug zu klassifizieren.

In den Kommentaren unter der Facebook-Erklärung der Geschichte zeigen sich viele Nutzer relativ enttäuscht über die geringe Summe, die man Silva zugestanden hat. Reginaldo Silvas Seite der Geschichte findet man übrigens in seinem Post XXE in OpenID: one bug to rule them all.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -