Size: a a a

2020 May 29

h◔

hanstalker ◔‿◔ in WebPwnChat
источник

H

Halloween Boy in WebPwnChat
hanstalker ◔‿◔
не советую с ним работатать, он кидок и меня тоже кинул
Злопамятный!
источник

H

Halloween Boy in WebPwnChat
Это плохо!
источник

EL

Eugene Lukianov in WebPwnChat
Billy Fox
Так что, хотите нормальной безопасности - пожалуйста, нанимайте пентестеров, редтимеров, пусть они ищут уязвимости у вас в системах. Используйте проверенные временем решения и лучшие практики безопасности, принципы наименьших привилегий и всё такое. Любой самый охуенный багхантер обломается и уйдёт ни с чем, пытаясь эксплуатировать SSRF, которая не эксплуатируется из-за файрволлов и политик безопасности на бэкенде. Любой самый охуенный хакер с кучей зиродеев будет срать кирпичами, когда его эксплойт не сработает из-за того, что вы выключили все исходящие соединения к недоверенным ресурсам. Баунти - это лишняя головная боль, трата денег и самое хуёвое - вознаграждение людей за то, что они просто умные. Ну да, хорошие качества могут быть важными в профессиональной работе, да только где вы видели, чтобы кому-то давали денег просто за то, что он умеет кавычку во все поля запихивать? Ну да, он крут и заслуживает уважения. Но явно не того, чтобы ему деньги платить. Вот люди, которые настраивают файрволлы, системы, порой с нуля всё собирают, чтобы сократить до минимума площадь атаки, этого реально заслуживают, а также математики, врачи, биолог
и и многие другие. Вы хотите платить деньги индусам, которые ещё вчера доили корову в засранной своей деревне? Ну-ну)

Так что я считаю баг баунти полностью проёбанной идеей. На мой взгляд, единственная вещь, которая хуже бб - это не иметь никакой безопасности вообще. С помощью бб реальные уязвимости с потенциалом эксплуатации не фиксятся и вообще остаются незамеченными, сливаются впустую горы бабла и нервов хакеров, которые ловят дубликаты, а также заставляют молчать обладателей этих нервов, чтобы контора могла охуевать и держать непропатченной эти уязвимости сколько угодно. Да и в целом, бб - это скорее мода, чем что-то реально необходимое. Бб рекламируются сейчас абсолютно таким же образом, как годы назад рекламировали облачные вычисления и всякий краудсорс в целом. Даже Гугл обязывает часть разработчиков иметь баг баунти. Если в Гугл плее отменят это правило, большая часть всех программ просто улетучится)

Так что - либо у вас реальная безопасность, и вы платите за неё не только безопасникам, но и всему айти-отделу, либо вы платите деньги индусам, которые в деревне у своих коров молоко доят.

Вот
Можно делать бб как одну из метрик эффективности всего отдела безопасности и тестирования. Присланая валидная бага == минус в карму безопасников. А без SSDLC багбаунти - кормушка для индусов
источник

BF

Billy Fox in WebPwnChat
Eugene Lukianov
Можно делать бб как одну из метрик эффективности всего отдела безопасности и тестирования. Присланая валидная бага == минус в карму безопасников. А без SSDLC багбаунти - кормушка для индусов
Креативно)
источник

EL

Eugene Lukianov in WebPwnChat
Кстати, может кто-нибудь посоветовать какой-нить опенсорсный ваф? Нужен чисто для демонстрационных целей
источник

КР

Криптослав Рутовски... in WebPwnChat
Eugene Lukianov
Кстати, может кто-нибудь посоветовать какой-нить опенсорсный ваф? Нужен чисто для демонстрационных целей
UFW ?

SNORT, suricata
источник

EL

Eugene Lukianov in WebPwnChat
Благодарю
источник

AK

Anton Kirsanov 🐸 in WebPwnChat
Eugene Lukianov
Кстати, может кто-нибудь посоветовать какой-нить опенсорсный ваф? Нужен чисто для демонстрационных целей
демонстрационно легко завести naxsi
источник

P

PP in WebPwnChat
Двачую за  Naxsi
источник

P

PP in WebPwnChat
В полпинка ставится
источник

S

S N in WebPwnChat
Переслано от Gott sei Dank
источник

А

Алексей in WebPwnChat
Ачивка - хакнул слак!!
+в портфолио
источник

A

Anton in WebPwnChat
ахахахахаххах
источник

ЭК

Элайджи Камски... in WebPwnChat
Взломал бургером
источник

B

Bo🦠oM in WebPwnChat
О, классика
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
“When a hamburger gains cheese, it becomes a cheeseburger”.

Вспомнил старую шутку про бабушку, которая при наличии опред. половых признаков, была бы дедушкой)
источник

S

S N in WebPwnChat
Vladimir 0D0A Polyakov\x00
“When a hamburger gains cheese, it becomes a cheeseburger”.

Вспомнил старую шутку про бабушку, которая при наличии опред. половых признаков, была бы дедушкой)
они заплатили 12.5 - это такой сарказм чтобы багхантер купил себе несколько чизов
источник

IS

I S in WebPwnChat
Ему реально заплатили 12 баксов ? 😁
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
I S
Ему реально заплатили 12 баксов ? 😁
на скрине же видно
источник