Size: a a a

2020 May 29

J

Jack in WebPwnChat
За совет спасибо. Я прыгал, каких то мелочей набрал
источник

R

Ramazan in WebPwnChat
Да и вникнуть нужно, чтобы понять логику приложения...
источник

J

Jack in WebPwnChat
Это да
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
Billy Fox
Так что, хотите нормальной безопасности - пожалуйста, нанимайте пентестеров, редтимеров, пусть они ищут уязвимости у вас в системах. Используйте проверенные временем решения и лучшие практики безопасности, принципы наименьших привилегий и всё такое. Любой самый охуенный багхантер обломается и уйдёт ни с чем, пытаясь эксплуатировать SSRF, которая не эксплуатируется из-за файрволлов и политик безопасности на бэкенде. Любой самый охуенный хакер с кучей зиродеев будет срать кирпичами, когда его эксплойт не сработает из-за того, что вы выключили все исходящие соединения к недоверенным ресурсам. Баунти - это лишняя головная боль, трата денег и самое хуёвое - вознаграждение людей за то, что они просто умные. Ну да, хорошие качества могут быть важными в профессиональной работе, да только где вы видели, чтобы кому-то давали денег просто за то, что он умеет кавычку во все поля запихивать? Ну да, он крут и заслуживает уважения. Но явно не того, чтобы ему деньги платить. Вот люди, которые настраивают файрволлы, системы, порой с нуля всё собирают, чтобы сократить до минимума площадь атаки, этого реально заслуживают, а также математики, врачи, биолог
и и многие другие. Вы хотите платить деньги индусам, которые ещё вчера доили корову в засранной своей деревне? Ну-ну)

Так что я считаю баг баунти полностью проёбанной идеей. На мой взгляд, единственная вещь, которая хуже бб - это не иметь никакой безопасности вообще. С помощью бб реальные уязвимости с потенциалом эксплуатации не фиксятся и вообще остаются незамеченными, сливаются впустую горы бабла и нервов хакеров, которые ловят дубликаты, а также заставляют молчать обладателей этих нервов, чтобы контора могла охуевать и держать непропатченной эти уязвимости сколько угодно. Да и в целом, бб - это скорее мода, чем что-то реально необходимое. Бб рекламируются сейчас абсолютно таким же образом, как годы назад рекламировали облачные вычисления и всякий краудсорс в целом. Даже Гугл обязывает часть разработчиков иметь баг баунти. Если в Гугл плее отменят это правило, большая часть всех программ просто улетучится)

Так что - либо у вас реальная безопасность, и вы платите за неё не только безопасникам, но и всему айти-отделу, либо вы платите деньги индусам, которые в деревне у своих коров молоко доят.

Вот
написано много, для тех кто не в теме, может даже звучать разумно, но почти все неверно. Можно разобрать прямо по абзацам, но даже для такого любителя писать длинные тексты как я, такой обьем это слишком.
Просто попробуй задуматься, почему ты, 19-летний хантер, считаешь багбаунти для компании бесполезной тратой денег, а глава аппсека компании, выплатившей 1 млн 200 тыс в баунти, считает иначе.И кстати тут в корне ошибочное мнение что компании у которых есть багбаунти, не проводят пентесты и редтимы.
источник

BF

Billy Fox in WebPwnChat
Vladimir 0D0A Polyakov\x00
написано много, для тех кто не в теме, может даже звучать разумно, но почти все неверно. Можно разобрать прямо по абзацам, но даже для такого любителя писать длинные тексты как я, такой обьем это слишком.
Просто попробуй задуматься, почему ты, 19-летний хантер, считаешь багбаунти для компании бесполезной тратой денег, а глава аппсека компании, выплатившей 1 млн 200 тыс в баунти, считает иначе.И кстати тут в корне ошибочное мнение что компании у которых есть багбаунти, не проводят пентесты и редтимы.
Я могу привести несколько примеров, что главы аппсека компаний, которые баунти не платят, вообще даже баунти как что-то полезное не рассматривают. Аналогия, к счастью, не аргумент. А ещё возможно что я просто лох и неудачник, и вообще единственный, у кого на одну валидную багу по три дубликата)
источник

P

Pulsar in WebPwnChat
Billy Fox
Я могу привести несколько примеров, что главы аппсека компаний, которые баунти не платят, вообще даже баунти как что-то полезное не рассматривают. Аналогия, к счастью, не аргумент. А ещё возможно что я просто лох и неудачник, и вообще единственный, у кого на одну валидную багу по три дубликата)
Да ты ещё везунчик с одной валидной
источник

P

Pulsar in WebPwnChat
Все репорты  - стабильно дубликат. При том что найдены не сканерами
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
https://hackerone.com/johndoe1492/year-in-review

че то кажись 7 дублей за пару лет. Но может потому что я XSS не люблю и CSRF
источник

ЭК

Элайджи Камски... in WebPwnChat
Вообще уязвимости овасп10 очень актуальны в наше время?
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
Все почти уязвимости это в том или ином виде OWASP top 10
источник

ЭК

Элайджи Камски... in WebPwnChat
Vladimir 0D0A Polyakov\x00
https://hackerone.com/johndoe1492/year-in-review

че то кажись 7 дублей за пару лет. Но может потому что я XSS не люблю и CSRF
Кстати зачем нужна репутация на х1? Мне накинули 100 баллов за дубликат, и тип зачем она.
источник

в

вжух in WebPwnChat
Элайджи Камски
Кстати зачем нужна репутация на х1? Мне накинули 100 баллов за дубликат, и тип зачем она.
тебе не накинули 100 баллов, они при регистрации даются
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
ты что то путаешь, за дубль дают 2 единицы репы. За критикал дают 57. Ты наверное про стартовую репу
источник

S

Slowstock in WebPwnChat
Vladimir 0D0A Polyakov\x00
ты что то путаешь, за дубль дают 2 единицы репы. За критикал дают 57. Ты наверное про стартовую репу
А вроде уже не дают ничего, разве нет? За дубль в смысле
источник

в

вжух in WebPwnChat
за репутацию ты можешь получать сваги (мерч х1)
источник

ЭК

Элайджи Камски... in WebPwnChat
Аа, понял
источник

в

вжух in WebPwnChat
и приглашение в приватные программы
источник

P

Pulsar in WebPwnChat
Прикинь я тоже ни одной xss и csrf не репортил
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
Slowstock
А вроде уже не дают ничего, разве нет? За дубль в смысле
да вроде ничего не поменялось, месяца 3 назад отхватил дубль от пейпала
источник

ЭК

Элайджи Камски... in WebPwnChat
Я дом хсс отрепортил и закрыли оклеймив дублем, обидно пиздец. Но я думаю поискать cors на том сайте и вдруг чё получится.
источник