Kako sam krenuo da trazim propuste na eBayu ?

U tom periodu sam bio na Tajlandu kad sam pronasao ove propuste, bila je sezona kisa ili kako se to vec zove kod njih, uglavnom kad padne kise, sve stane i bude bas dosta vode, sigurno je visina bila 0.5m. Uglavnom zato sto sam se dosadjivao u hotelu, nisam znao sta da radim, odlucio sam malo da se igram, da probam da pronadjem propuste. Ne secam se tacno kako sam dosao do toga da testiram bas eBay, ali znam da sam isao na to da testiram neku veliku kompaniju.

Isao sam logikom da nadjem neki legacy deo, nesto sto je bas staro i da se nadam da cu tu pronaci propuste. Posle nekih 20-30 minuta sam uspeo da nadjem nekoliko stranica koje su imale bas los UI, tj. bile su stare, pa sam odlucio da testiram taj deo, uradio nekoliko zahteva i eto XSS-a. Posle sam testirao sledecu stranicu, opet sam pronasao XSS i to je bilo dovoljno da prestanem sa testiranjem i da prijavim propuste :)

Prijavio sam propuste, opisao iste i vec kroz dva dana je sredjeno sve. Nije bilo nikakve nagrade jer nemaju bug bounty program, bar u tom periodu eBay nije imao taj program za razliku od Paypala :D

Obavestenje da ce uskoro postaviti moje ime i link na stranicu gde su izlistani ostali ljudi koji su pronasli propuste. A takodje me obavestavaju da ne mogu nista osim toga da dodam, da ne mogu da dodam zahvalnicu jos jednoj osobi za pronalazak propusta.. :D

alt text

Uspeo sam da pronadjem formu koju sam popunjavao kad sam slao detalje o propust, pa je tako ostao i screenshot od XSS-a :)

alt text

Lista ljudi koji su pronasli propuste na eBay-u i dozvolili da budu objavljeni na njihovoj stranici:

https://pages.ebay.com/securitycenter/security_researchers_acknowledgements.html

Evo i mene ovde :D

alt text