h◔
Size: a a a
2020 May 29
H
не советую с ним работатать, он кидок и меня тоже кинул
Злопамятный!
H
Это плохо!
EL
Так что, хотите нормальной безопасности - пожалуйста, нанимайте пентестеров, редтимеров, пусть они ищут уязвимости у вас в системах. Используйте проверенные временем решения и лучшие практики безопасности, принципы наименьших привилегий и всё такое. Любой самый охуенный багхантер обломается и уйдёт ни с чем, пытаясь эксплуатировать SSRF, которая не эксплуатируется из-за файрволлов и политик безопасности на бэкенде. Любой самый охуенный хакер с кучей зиродеев будет срать кирпичами, когда его эксплойт не сработает из-за того, что вы выключили все исходящие соединения к недоверенным ресурсам. Баунти - это лишняя головная боль, трата денег и самое хуёвое - вознаграждение людей за то, что они просто умные. Ну да, хорошие качества могут быть важными в профессиональной работе, да только где вы видели, чтобы кому-то давали денег просто за то, что он умеет кавычку во все поля запихивать? Ну да, он крут и заслуживает уважения. Но явно не того, чтобы ему деньги платить. Вот люди, которые настраивают файрволлы, системы, порой с нуля всё собирают, чтобы сократить до минимума площадь атаки, этого реально заслуживают, а также математики, врачи, биолог
и и многие другие. Вы хотите платить деньги индусам, которые ещё вчера доили корову в засранной своей деревне? Ну-ну)
Так что я считаю баг баунти полностью проёбанной идеей. На мой взгляд, единственная вещь, которая хуже бб - это не иметь никакой безопасности вообще. С помощью бб реальные уязвимости с потенциалом эксплуатации не фиксятся и вообще остаются незамеченными, сливаются впустую горы бабла и нервов хакеров, которые ловят дубликаты, а также заставляют молчать обладателей этих нервов, чтобы контора могла охуевать и держать непропатченной эти уязвимости сколько угодно. Да и в целом, бб - это скорее мода, чем что-то реально необходимое. Бб рекламируются сейчас абсолютно таким же образом, как годы назад рекламировали облачные вычисления и всякий краудсорс в целом. Даже Гугл обязывает часть разработчиков иметь баг баунти. Если в Гугл плее отменят это правило, большая часть всех программ просто улетучится)
Так что - либо у вас реальная безопасность, и вы платите за неё не только безопасникам, но и всему айти-отделу, либо вы платите деньги индусам, которые в деревне у своих коров молоко доят.
Вот
и и многие другие. Вы хотите платить деньги индусам, которые ещё вчера доили корову в засранной своей деревне? Ну-ну)
Так что я считаю баг баунти полностью проёбанной идеей. На мой взгляд, единственная вещь, которая хуже бб - это не иметь никакой безопасности вообще. С помощью бб реальные уязвимости с потенциалом эксплуатации не фиксятся и вообще остаются незамеченными, сливаются впустую горы бабла и нервов хакеров, которые ловят дубликаты, а также заставляют молчать обладателей этих нервов, чтобы контора могла охуевать и держать непропатченной эти уязвимости сколько угодно. Да и в целом, бб - это скорее мода, чем что-то реально необходимое. Бб рекламируются сейчас абсолютно таким же образом, как годы назад рекламировали облачные вычисления и всякий краудсорс в целом. Даже Гугл обязывает часть разработчиков иметь баг баунти. Если в Гугл плее отменят это правило, большая часть всех программ просто улетучится)
Так что - либо у вас реальная безопасность, и вы платите за неё не только безопасникам, но и всему айти-отделу, либо вы платите деньги индусам, которые в деревне у своих коров молоко доят.
Вот
Можно делать бб как одну из метрик эффективности всего отдела безопасности и тестирования. Присланая валидная бага == минус в карму безопасников. А без SSDLC багбаунти - кормушка для индусов
BF
Можно делать бб как одну из метрик эффективности всего отдела безопасности и тестирования. Присланая валидная бага == минус в карму безопасников. А без SSDLC багбаунти - кормушка для индусов
Креативно)
EL
Кстати, может кто-нибудь посоветовать какой-нить опенсорсный ваф? Нужен чисто для демонстрационных целей
КР
Кстати, может кто-нибудь посоветовать какой-нить опенсорсный ваф? Нужен чисто для демонстрационных целей
UFW ?
SNORT, suricata
SNORT, suricata
EL
UFW ?
SNORT, suricata
SNORT, suricata
Благодарю
AK
Кстати, может кто-нибудь посоветовать какой-нить опенсорсный ваф? Нужен чисто для демонстрационных целей
демонстрационно легко завести naxsi
P
Двачую за Naxsi
P
В полпинка ставится
А
Ачивка - хакнул слак!!
+в портфолио
+в портфолио
A
Переслано от Gott sei Dank
ахахахахаххах
ЭК
Взломал бургером
B
Переслано от Gott sei Dank
О, классика
VP
Переслано от Gott sei Dank
“When a hamburger gains cheese, it becomes a cheeseburger”.
Вспомнил старую шутку про бабушку, которая при наличии опред. половых признаков, была бы дедушкой)
Вспомнил старую шутку про бабушку, которая при наличии опред. половых признаков, была бы дедушкой)
S
“When a hamburger gains cheese, it becomes a cheeseburger”.
Вспомнил старую шутку про бабушку, которая при наличии опред. половых признаков, была бы дедушкой)
Вспомнил старую шутку про бабушку, которая при наличии опред. половых признаков, была бы дедушкой)
они заплатили 12.5 - это такой сарказм чтобы багхантер купил себе несколько чизов
IS
Ему реально заплатили 12 баксов ? 😁
VP
Ему реально заплатили 12 баксов ? 😁
на скрине же видно