Телеграмм чат группы DCG7812 страница 1101

Например Yahoo в правилах просит даже /etc/passwd не считывать

15:48пожаловаться #1

15:48пожаловаться #2

А помните на какой-то старой встрече Дефкон-раши Леша Синцов @Eik00d рассказывал историю, что ребята когда Нокию по багбаунти ломали и немного пошалили внутри, вот как раз как Антон Павлович Чехов.

И потом Синцову пришлось парней оправдывать, чтобы на них в суд не накатали)

15:50пожаловаться #3

АЧ

Пошалить можно по разному)

15:51пожаловаться #4

хотя цель у них была как раз "ну мы хотели понять, какие у нас привилегии внутри, чтобы поточнее описать опасность уязвимости"

15:51пожаловаться #5

АЧ

Можно в качестве бонуса забрать базу юзеров а можно оставить послание сисадмину

15:51пожаловаться #6

АЧ

Разные же вещи)

Peter Destructive in DCG#7812 DEFCON-RUSSIA

15:52пожаловаться #7

И за смарт скан можно присесть, ибо там есть эксплуатация для подтверждения наличия уязвимости в сервисе

Peter Destructive in DCG#7812 DEFCON-RUSSIA

15:52пожаловаться #8

Антон Павлович Чехов

Разные же вещи)

Не для тех, кто не знаком с it sec

15:53пожаловаться #9

АЧ

Ну я форсил дела по 272 ук рф и 90% дел заканчивались примерением сторон и чтото около. Вобщем до приседания не доходило

15:53пожаловаться #10

АЧ

Ну и сначало доказать еще нужно

15:54пожаловаться #11

АЧ

Все еще зависит от адекватности, както шлепнул контору и написал по майлу на сайте что нашел, в ответ прилетали угрозы мол отдел к уже выехал и прочие сказки темного леса. Дальше я на сайте нашел ИНН и загуглилтв базе. Нашел ФИО директора конторы и мне удалось найти его в Вконтакте, и списался с ним, очень приятный мужик оказался за 2 дня разобрались и заплатили. И тому сотруднику выговор за угрозы)

Peter Destructive in DCG#7812 DEFCON-RUSSIA

15:57пожаловаться #12

Антон Павлович Чехов

Бывает и доказывают

Alexey Sintsov in DCG#7812 DEFCON-RUSSIA

15:57пожаловаться #13

дело не в "присесть", любой репорт это работа для компании по разбору инцидента. и если ты слил че то и бд или достал файл с хдд, или поднял права - то это добавляет вопросов, которые никому не нужны. ты же баунти хочешь, а не разборки.. нах тебе лишние проблемы. а вендор не хочет тратить время на разбор того, чего ты натворил и зачем

15:58пожаловаться #14

АЧ

Peter Destructive

Бывает и доказывают

Стопудовый оптимист)

Andrey Abakumov in DCG#7812 DEFCON-RUSSIA

16:02пожаловаться #15

Ага, если ты думаешь что возможно получить rce, то просто опиши в репорте словами, ребята сами проверят.