BF
Учитывая то, что их не так часто фиксят (привет, AT&T!), это может нанести некоторый ущерб
Size: a a a
2020 March 24
BF
Триажеры не любят всё делать вручную, они гораздо охотнее запустят одной командой присланный им PoC-эксплойт, а там может быть что угодно
BF
Это особенно тех касается, кто удалённо работает, в офисах-то хотя бы политики безопасности применяют, а вот на удалёнке это сложнее обеспечить
BF
Плюс очень большое количество софта для наступательной безопасности запускается и работает нормально только от рута
VS
В апи Hackerone была одно время скуля
именно по этому они имеют свою ББ. и платят хорошо за любые проколы с их стороны.
VS
а еще докидывают бонусы за свежий функционал в котором сразу нашли уязвимость
BF
именно по этому они имеют свою ББ. и платят хорошо за любые проколы с их стороны.
Именно поэтому я уверен, что там есть ещё что-нибудь, что пока ещё просто никто не открыл
NM
конечно есть
BF
Это просто раздолье на самом деле для определённым образом думающих атакующих, и странно, что об этом мало кто думает
VS
Именно поэтому я уверен, что там есть ещё что-нибудь, что пока ещё просто никто не открыл
предлагаю тебе доказать свою теорию предметно и зарепортить им что-то от своего аккаунта
VS
буквы писать в этом чатике каждый может
BF
Ну вспомни хотя бы ту печеньку на 20к$
BF
Триажер абсолютно случайно её отправил, и чувак получил доступ ко всем репортам в его интерфейсе. А если бы это было не случайно?
BF
Я думаю, что это только дополнительные риски вводит, с которыми ещё сложнее
NM
и да и нет же.
NM
единственный риск, ты официально объявляешь куда тебя бить =)
NM
В докладе кстати об этом есть, там зараза говорит, что некоторыми хитростями можно направить ресурсы на тест нужной фичи
BF
Хочешь сказать, триажеры на h1 достаточно умны, чтобы не запускать эксплойты, которые им присылают, от рута? х)
VS
Триажер абсолютно случайно её отправил, и чувак получил доступ ко всем репортам в его интерфейсе. А если бы это было не случайно?
а теперь загляни в этот репорт и посмотри на количество репортов от жобера. думаешь там можно в системе бесследно бродить и не привлекать внимание ?
BF
Думаю, нет