MM
,Неплохо было бы бабки получить)
Тока спасибо)
Size: a a a
2020 May 25
I
ты или акунетикс?)
ЭК
ты или акунетикс?)
Окунь и я, ибо полноценно он не воспроизводил ХСС, я её докрутил.
BF
Тогда да)
Может им пофиг на майнинг в браузерах, экшен от пользаков, дефейс и репутацию
Может им пофиг на майнинг в браузерах, экшен от пользаков, дефейс и репутацию
Да там дело в другом: пока Гугл будет всех обязывать баг баунти иметь, кто хочет "опасные" апи на Андроиде юзать, это будет и дальше продолжаться. Вот у нас, типа, безопасность, у нас сайты регулярно сотни индусов прочёсывают... а на бэкенде пиздец, но они туда уже не полезут
MM
Да там дело в другом: пока Гугл будет всех обязывать баг баунти иметь, кто хочет "опасные" апи на Андроиде юзать, это будет и дальше продолжаться. Вот у нас, типа, безопасность, у нас сайты регулярно сотни индусов прочёсывают... а на бэкенде пиздец, но они туда уже не полезут
Ну вот если такой подход, когда защищаются от скрипткидди и ограничивают скоуп всячески, то и появляется желание писать на почту вместо платформы. А вообще бб так себе тема в плане глобального смысла. Гораздо за большие деньги те же дыры можно продать при аудитах
BF
Ну вот если такой подход, когда защищаются от скрипткидди и ограничивают скоуп всячески, то и появляется желание писать на почту вместо платформы. А вообще бб так себе тема в плане глобального смысла. Гораздо за большие деньги те же дыры можно продать при аудитах
Во, всё правильно. Почему-то все говорят о баг баунти, но молчат о том, что компании, которые их имеют, тем не менее регулярно становятся жертвами атак, которые просто происходят. Почему? Ну потому что багхантеры не могут себе позволить фишинговые рассылки, а блэчеры и правительственные боевые погромисты могут
MM
И спорить им ни с кем не надо про импакт и скоуп)
ЭК
Во, всё правильно. Почему-то все говорят о баг баунти, но молчат о том, что компании, которые их имеют, тем не менее регулярно становятся жертвами атак, которые просто происходят. Почему? Ну потому что багхантеры не могут себе позволить фишинговые рассылки, а блэчеры и правительственные боевые погромисты могут
А блэчеры могут себе позволить рассылать word-документы с малварём внутри.
BF
А блэчеры могут себе позволить рассылать word-документы с малварём внутри.
Так я об этом и пишу
R
в бб тоже можно, если договоритесь с отделом ИБ, то многие с удовольствием разрешают
ЭК
Так, мб скинуть им счёт paypal Типо награда за нахождение Xss?))
VP
в бб тоже можно, если договоритесь с отделом ИБ, то многие с удовольствием разрешают
а смысл?Соревнования кто увлекательнее напишет креативное фишинговое письмо и зарядит туда вирус посильнее?Так это уже не аппсек
R
а смысл?Соревнования кто увлекательнее напишет креативное фишинговое письмо и зарядит туда вирус посильнее?Так это уже не аппсек
ну по себе могу сказать, смысл на 5тизначные баунти)
VP
Так, мб скинуть им счёт paypal Типо награда за нахождение Xss?))
я ставил в свою подпись адрес криптокошелька, и подпись что если хотите наградить, можете скинуть сюда. В самом письме не указывал
BF
в бб тоже можно, если договоритесь с отделом ИБ, то многие с удовольствием разрешают
Так это уже пентест пажылой палучаица
VP
ну по себе могу сказать, смысл на 5тизначные баунти)
не, это прекрасно, но при чем тут баунти и аппсек?
R
Так это уже пентест пажылой палучаица
нет, грубо говоря, ты смог выудить у программиста доступы к какому-нибудь акку, теперь он твой или подобный дестовый
VP
такими рассылками даже аппсек не занимается, потому что это не уязвимость в созданном компании приложении, это вопрос инфры/фильтров
R
а какая разница, у меня главная цель на ББ бабки, на остальное мне все равно
R
правильно это или не правильно, пентест или бб...