WS
У кого были случаи, когда расширение HTTP Request Smuggler не находило уязвимость там где она точно есть?
Size: a a a
2020 March 26
I
Многие не принимают 0дей софта 3их лиц
то есть если компания развернула у себя джиру, а в ней нашелся баг, то где-то тут есть повод не платить?
BF
У кого были случаи, когда расширение HTTP Request Smuggler не находило уязвимость там где она точно есть?
Были. Смагглер не все смагглы находит, к сожалению
КР
то есть если компания развернула у себя джиру, а в ней нашелся баг, то где-то тут есть повод не платить?
Именно. Отвечают типа "спасибо, доступ закроем, но уязвимость не наша, поэтому пометим как информатив"
WS
Были. Смагглер не все смагглы находит, к сожалению
Вчера всё нормально работало, потом вдруг перестало. Тестирую сейчас на лабах Portswigger, не находит уязвимости
BF
ты видел что принимает зеродиум?
То есть баг в Nginx каком-нибудь они примут, а в чём-нибудь не таком популярном типа Apache Superset - нет?
КР
Другое дело креды вида backup:backup123123 без 2FA на ssh. Там платят.
I
Именно. Отвечают типа "спасибо, доступ закроем, но уязвимость не наша, поэтому пометим как информатив"
ну эт как-то странно. мейл-яндекс так не делает, к счастью
I
То есть баг в Nginx каком-нибудь они примут, а в чём-нибудь не таком популярном типа Apache Superset - нет?
я скорее про категорию уязимостей
там сплошные RCE+LPE у них в интересах
там сплошные RCE+LPE у них в интересах
I
BF
Да просто можно рискнуть и сдать RCE эту самую в кучу баунти, а можно в Зеродиум
BF
Проблема в том что если всем подряд её светить можно её лишиться
BF
А Зеродиум ещё не факт что примет
КР
Ах если б знал в свое время, что за rce в роутере можно 10к$ получить...
I
Ах если б знал в свое время, что за rce в роутере можно 10к$ получить...
dir 300 out of scope)
BF
Ах если б знал в свое время, что за rce в роутере можно 10к$ получить...
В твоё время не было Зеродиума(
КР
dir 300 out of scope)
А dir320? 😂😂
Да, я в routerpwn сдавал)))
Микротики линксисы и циски подразумеваются?
Да, я в routerpwn сдавал)))
Микротики линксисы и циски подразумеваются?
I
Eligible Router Brands
ASUS, Cisco, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, and Ubiquiti.
ASUS, Cisco, D-Link, Huawei, Linksys, MikroTik, Netgear, TP-Link, and Ubiquiti.
D
Nessus крякнутый есть у кого-нибудь?
VS
Сдавать некуда 😂 писать некуда. Звонить пробовал, чтобы на техдира выйти, но техподдержка этим не занимается 🥴
P.S. берегите персданные
P.S. берегите персданные
знаю человека который у них безопасностью занимался